QR code per la pagina originale

Facebook e Microsoft pagano hacker in cerca di bug

Le due aziende hanno creato un fondo unico per finanziare gli hacker capaci di scovare i bug dei loro sistemi. Premi tra i 500 e i 3000 dollari.

,

Insieme per rendere la Rete più sicura, soprattutto i loro servizi e prodotti. Microsoft e Facebook hanno deciso di unire i loro programmi di finanziamento alla sicurezza in un fondo chiamato Bug Bounty che utilizza uno dei più antichi metodi del mondo: il premio in denaro. Le due società promettono dollari sonanti agli hacker che riusciranno a penetrare i loro sistemi.

L’idea del bounty è venuta a Menlo Park dopo l’iniziativa controversa del ricercatore palestinese che scrisse sulla timeline di Mark Zuckerberg sfidandolo a dimostrare che la grossa falla che aveva scovato – in effetti esistente – era falsa. Fino ad oggi Facebook col suo programma Whitehat ha speso 1,5 milioni di dollari per premiare persone in taluni casi assunte anche come dipendenti dell’azienda.

Il fondo Bounty Bug, invece, consta del sostegno delle due società, ma solo come erogatrici delle “taglie”, mentre è tutto gestito da un gruppo indipendente di esperti delle società di consulenza iSEC e Etsy, oltre che a ingegneri delle società californiane. Una logica hack non propriamente pura, se si considera che si parla di premi tra i 500 e i 3000 dollari destinati a coloro che troveranno bug importanti, non certo piccole imprecisioni di codice. Per partecipare a questa competizione, però, ci sono alcune regole da rispettare, a partire dalla iscrizione ad HackerOne così da permettere alle aziende di gestire queste segnalazioni e di giudicarne il valore in termini di sventati problemi:

Problemi che si manifestino in una vasta gamma di prodotti o di impatto per un numero elevato di utenti finali e che abbiano conseguenze estremamente negative per il pubblico generale.

Google, qualche tempo fa, ha dato il via a un programma simile di correzione di sicurezza, tanto che non compare nel pannello HackerOne anche se un suo ingegnere di Chrome è presente. Il pannello anti vulnerabilità per il momento funziona solo negli Usa, le segnalazioni possono anche essere anonime, ma accoglie le abilità di tutti, persino degli under 13, i quali per ritirare l’eventuale premio dovranno avere un tutore legale.

Fonte: Hackerone • Via: WSJ • Immagine: Jeff Wasserman • Notizie su: , ,