Un “programma bug bounty” è un accordo grazie al quale un individuo può ricevere riconoscimenti e ricompense in denaro per la segnalazione di bug (ovvero un errore nella scrittura del codice sorgente di un programma software) in particolare relativi a exploit e vulnerabilità… un po’ come nel selvaggio west quando esistevano le taglie per certi personaggi non propriamente “santi”… mentre in questo caso la taglia è per problematiche “virtuali” e non sulle persone fisiche.
Grazie a questi programmi gli sviluppatori possono scoprire e risolvere bug prima che il pubblico li conosca, prevenendo episodi di abusi.
Il primo programma di bug noto al grande pubblico è del lontano 1983 per il sistema operativo VRTE, chi scopriva un bug poteva ricevere un Maggiolino Volkswagen (notare che maggiolino in inglese si dice “bug”).
Il termine “bug bounty” è invece stato coniato nel 1995 da un ingegnere tecnico della Netscape.
Per un breve periodo (e sino al 2014) Facebook premiava i ricercatori che trovavano bug di sicurezza mediante una carta di debito personalizzata (di colore nero) e denominata “White Hat”.
Se anche voi avete scoperto delle vulnerabilità, potete segnalarlo direttamente alle organizzazioni, tra cui ad esempio:
- Mozilla Firefox – Security Bug Bounty Program
- Google – Vulnerability Reward Program
- Facebook – WhiteHat Information
- Yahoo – Bug Bounty Program
- Elenco completo dei programmi Bug Bounty
Ciao dal Doc!