Facebook, 33.500 dollari per un bug

Facebook ha versato 33.500 dollari nelle casse di un ricercatore brasiliano per una segnalazione relativa ad un grave bug, ora corretto e disinnescato.
Facebook ha versato 33.500 dollari nelle casse di un ricercatore brasiliano per una segnalazione relativa ad un grave bug, ora corretto e disinnescato.
Giacomo Dotta
Pubblicato il 23 gen 2014

Facebook ha comunicato di aver depositato il maggior “bug bounty” da quando l’iniziativa di cooperazione con il mondo dei ricercatori esterni è iniziato. La logica è semplice e fa parte di una filosofia già abbracciata da molti altri grandi gruppi quali Google o Mozilla: quando un ricercatore trova un bug, lo può segnalare seguendo specifiche modalità e riceverà in cambio precise somme di denaro, proporzionalmente alla gravità del problema notificato e sulla base dell’aderenza alle regole di comunicazione del bug riscontrato.

Facebook ha in questo caso depositato la massima somma promessa: 33.500 dollari, intascati nello specifico dall’ingegnere brasiliano Reginaldo Silva (già attivo da tempo in questo genere di attività). Analizzando i codici e le procedure di Facebook, il ricercatore ha scoperto come fosse possibile accedere da remoto a file arbitrari presenti sui server del social network. Oggi tale bug è stato risolto, ma Facebook ha voluto ringraziare pubblicamente Reginaldo Silva per quanto scoperto e per l’opportunità concessa di risolvere il bug senza colpo ferire.

Grazie alla qualità del report compilato dal ricercatore, infatti, Facebook spiega di aver messo una pezza al bug già entro le prime quattro ore successive alla segnalazione. Il problema era stato verificato anche tramite proof-of-concept e nei giorni successivi il team ha voluto analizzare meglio la situazione per capire quale sarebbe stato l’intervento risolutivo migliore. A correzione avvenuta (tramite libxml_disable_entity_loader(true)), il team Facebook ha fatto pressioni affinché al ricercatore fosse girato il massimo riconoscimento monetario possibile, il tutto in virtù della gravità del bug e della qualità della segnalazione offerta.

La cifra non è soltanto un valore pecuniario: il denaro riconosciuto fa parte del dialogo in atto tra azienda e ricercatori esterni, quantifica la gratitudine e rende solida l’iniziativa che consente al gruppo di apprendere dei propri bug prima che gli stessi facciano pericolosamente comparsa in un qualche post anonimo online o in qualche exploit. Il riconoscimento a Reginaldo Silva è pertanto una bella notizia per il diretto interessato, ma anche un rinnovato invito ad una intera community affinché si riesca a collaborare in modo efficace scambiando denaro e segnalazioni all’interno di un dialogo finalizzato alla sicurezza dell’utente finale.

Ti consigliamo anche

ExpressVPN a metà prezzo con 3 mesi gratis con QUESTA PROMO
Software e App

ExpressVPN a metà prezzo con 3 mesi gratis con QUESTA PROMO
Amazon Svuota Tutto: SCONTI TECH OLTRE 60 PER CENTO!
Web e Social

Amazon Svuota Tutto: SCONTI TECH OLTRE 60 PER CENTO!
Offerta NordVPN: 65% di sconto + 3 mesi gratis
VPN

Offerta NordVPN: 65% di sconto + 3 mesi gratis
A10 Cuffie Gaming: da Astro le migliori cuffie cablate col prezzo accessibile e scontatissimo!
Web e Social

A10 Cuffie Gaming: da Astro le migliori cuffie cablate col prezzo accessibile e scontatissimo!
Link copiato negli appunti