Finanziare gli hacker non è necessariamente una cosa negativa. PayPal, per esempio, ha recentemente pagato 15.300 dollari (11.700 sterline) a uno di questi; Tesla, l’azienda automobilistica elettrica di Elon Musk, ha offerto 500 mila dollari a chiunque riesca ad hackerare un modello Tesla 3, mentre Apple è pronta a pagare un milione e mezzo di dollari a chiunque riesca a intrufolarsi dentro un iPhone. Per non essere da meno, Google ha aggiunto un bonus di “ricompensa” del 50% ulteriore rispetto al milione di dollari offerto agli hacker che riuscissero a compromettere il nuovo chip Titan M. 

Naturalmente, i destinatari di queste ricche ricompense non sono i classici criminali informatici, ma hacker che segnalano problemi di sicurezza in modo che possano essere risolti prima che gli hacker autori materiali delle minacce possano sfruttarli, come le migliaia di hacker che utilizzano la piattaforma di hacking HackerOne. 

Quali sono i programmi di ricompensa per l’individuazione di vulnerabilità lanciati dalla casa di Palo Alto? 

Il “Vulnerability Reward Program” (questo il nome della campagna), anche comunemente noto come programma per l’individuazione e la risoluzione dei bug, permette agli hacker di riferire in modo diretto alle aziende (nella fattispecie, a Google) le vulnerabilità che questi riescono a individuare in cambio di soldi.

Lo scopo è quello di finanziarli per evitare che questi vendano le loro informazioni sul mercato nero o che li utilizzino essi stessi a proprio vantaggio. I VRP di Google riguardano numerose aree di prodotto e sono stati costantemente ampliati in termini di coperture finanziarie dal 2010, anno del lancio della campagna. Oltre ai più famosi Android e Chrome, ad esempio, esiste un programma chiamato “Abuse” che copre ciò che Google chiama “abuso significativo - metodologie correlate”, ossia azioni fraudolente eseguite attraverso un’app di Google. Un esempio di quest’ultimo è il modo in cui un utente malintenzionato potrebbe manipolare i punteggi di valutazione di un locale presente su Google Maps. La ricompensa massima prevista dal programma Chrome VRP di base è triplicata a 15 mila dollari. 

---

---

Ci sono alcune statistiche davvero sbalorditive nei report annuali di VRP presenti sul blog di sicurezza di Google, non ultimo il fatto che dal 2010 Google avrebbe a oggi pagato oltre 21 milioni di dollari in premi agli hacker. Solo nel 2019 sono stati pagati circa 6,5 milioni di dollari in ricompense: è il doppio di quanto sia mai stato elargito in un solo anno da quando il servizio è stato lanciato. Gli hacker, tuttavia, non hanno tenuto tutto per sé: hanno infatti donato un totale record di 500 mila dollari in premi in denaro in beneficenza, cinque volte di più rispetto a qualsiasi altro anno. Il singolo premio più alto è stato di 201 mila dollari; un totale di 461 hacker hanno ricevuto pagamenti da Google durante l’anno appena trascorso. 

Analizzando nello specifico le statistiche sulle ricompense elargite nel corso del 2019 riguardo la ricerca di vulnerabilità di app che hanno almeno 100 milioni di download, si è verificata un’ondata di segnalazioni di bug che hanno portato Google al pagamento di oltre 650 mila dollari in premi, con un picco di finanziamenti negli ultimi sei mesi dell’anno appena trascorso. 

---

Supporta il nostro blog -> Seguici sulla nostra pagina facebook e iscriviti alla newsletter

---