Bug Bounty: cosa sono e perché sono utili
Tempi d’oro per i cacciatori di bug: mai come oggi, la velocità imposta dal mercato ai produttori di tecnologie fa sì che molti prodotti vengano rilasciati senza adeguate verifiche, mettendo in circolo vulnerabilità capaci di produrre effetti devastanti. E poiché individuarle per tempo, così da predisporre adeguate patch, rappresenta un’impresa spesso insostenibile per le aziende, entra in gioco il lavoro di ricercatori e appassionati che portano alla luce – talvolta per puro caso, talvolta per mestiere – difetti o problematiche di sicurezza ancora ignote.
Sempre più spesso sono gli stessi produttori a organizzare campagne di Bug Bounty, offrendo premi e ricompense a chi segnali loro le vulnerabilità riscontrate; di solito, ovviamente, alla condizione che non ne venga fatta disclosure al pubblico. Tra le più note rientrano la ricerca di punti deboli nei prodotti Amazon o l’Apple Security Research Device Program, come pure gli analoghi progetti di Google (che nel 2021 ha erogato ricompense per un valore pari a quasi 9 milioni di dollari), Microsoft o Meta. Tra le iniziative istituzionali compaiono invece quelle del Dipartimento della Difesa USA oppure il FOSSA (Free and Open Source Software Audit) dell’Unione Europea, focalizzato sulla ricerca di vulnerabilità nei principali software OS.
Simili programmi hanno, per i promotori, la duplice utilità di far emergere i problemi prima che vengano notati dagli utenti nonché di individuare nuovi talenti della cybersecurity da includere nei loro team.
Ma anche dalle scoperte “spontanee” possono derivare notevoli guadagni. È il caso di due italiani che hanno recentemente svelato un serio errore di configurazione nel popolare CDN Akamai, ricavandone quasi 50 000 dollari in ricompense ottenute da alcuni suoi importanti clienti (tra i quali figurano realtà del calibro di PayPal, Airbnb o Goldman Sachs) nonostante l’azienda non abbia riconosciuto loro alcuna ricompensa.
In ogni caso, quale che sia l’origine della scoperta, le opportunità a disposizione di un Bug Bounty Hunter non sono mai state così numerose e remunerative.