Qualche giorno fa, Apple ha annunciato il suo programma di ricompense per i cacciatori di vulnerabilità per i suoi prodotti, offrendo fino a 200.000 dollari per la scoperta di bug importanti in iOS.
Exodus, una società che diffonde dietro pagamento informazioni su vulnerabilità e falle nella sicurezza, ha rilanciato offrendo ai ricercatori fino a mezzo milione di dollari per informazioni su vulnerabilità critiche in iOS 9.3 (o successivi) e un esempio su come sfruttarle.
Ovviamente, Exodus si affretta a precisare che la maggior parte dei suoi clienti sono società che sviluppano soluzioni di sicurezza informatica e aziende specializzate nel testare la sicurezza delle reti dei loro clienti, non creatori di malware o cybercriminali.
Il loro listino delle ricompense riflette un po’ la legge della domanda/offerta che regola ogni mercato: più le falle sono rare, maggiori saranno le ricompense che si possono ottenere.
Come si vede dalla schermata qui sotto, in cima alla classifica c’è iOS 9.3, seguito da Chrome e (un po’ a sorpresa) da Microsoft Edge.
| RICOMPENSE OFFERTE DA EXODUS | |
| Bersaglio | Ricompensa massima |
| iOS 9.3+ | 500.000 |
| Google Chrome | 150.000 |
| MS Esge | 125.000 |
| Firefox | 80.000 |
| Windows 10 LPE | 75.000 |
| Adobe Reader | 60.000 |
| Adobe Flash | 60.000 |
Ben 80.000 dollari attendono chi riesce a scoprire una vulnerabilità critica in Firefox, mentre ottenere i privilegi di root per Windows 10 in maniera poco ortodossa frutta fino a 75.000 dollari.
Risulta ancora molto alta anche la ricompensa per le falle critiche in Adobe Flash: ben 60.000 dollari. Noi, a giudicare da quante ne abbiamo viste finora, avremmo pensato a massimo 60. Scherzi a parte, immaginiamo che la quotazione in questione sia destinata a crollare nei prossimi mesi con i maggiori browser che stanno effettivamente chiudendo le porte al plug-in di Adobe.
Tutti i premi sono pagabili tramite bonifico bancario, assegno, Western Union (!) e addirittura Bitcoin.
Come era lecito aspettarsi, questo tipo di gioco al rialzo non piace alle società che creano software, anche perché non è bello sapere che c’è qualcuno disposto a comprare e rivendere legalmente delle vulnerabilità che affliggono i tuoi prodotti.
Exodus, da parte sua, ha evidentemente trovato un mercato molto profittevole ma non vuole fare la figura del cattivo. Quindi ha annunciato un suo programma di pubblicazione delle vulnerabilità di cui entrano in possesso. Peccato che abbia anche specificato che la diffusione delle informazioni avverrà solo dopo che la società ne avrà estratto il massimo beneficio economico possibile.