Facebook ha deciso: soldi a chi trova falle sul sito

Facebook, come Google e Mozilla, ha deciso di corrispondere denaro a chi troverà vulnerabilità sul proprio sito. Si apre così una nuova fase nei rapporti tra l'azienda di Zuckerberg e la comunità dei ricercatori di sicurezza.

Avatar di Manolo De Agostini

a cura di Manolo De Agostini

Facebook pagherà i ricercatori esterni o i semplici appassionati che per primi troveranno falle di sicurezza nel portale e le segnaleranno all'azienda. Non è la prima volta che un gigante di Internet si fa dare una mano dai supporter o da persone che vogliono semplicemente racimolare qualche soldo (pensate a Google e Mozilla). 

Per i bug di sicurezza, come le falle XSS, Facebook pagherà almeno 500 dollari. Se saranno individuate e segnalate falle più gravi, l'azienda di Mark Zuckerberg sborserà di più, anche se al momento non si conoscono le cifre.

In passato Facebook offriva ai ricercatori solamente un "misero" ringraziamento pubblico. A volte però l'interscambio di informazioni diventava una buona occasione per reclutare nuovi programmatori. Con il cambio di politica l'azienda ha presentato anche una nuova pagina dove i ricercatori possono iscriversi e segnalare i problemi. 

La mossa del social network è ottima per svariati motivi: innanzitutto facilita il lavoro del team di sicurezza, e quindi viene sostanzialmente effettuato lavoro a costo zero o quasi. Inoltre permette all'azienda di mettere al sicuro l'enorme base di utenti, evitando "figuracce" mondiali. 

La terza cosa è che Zuckerberg e compagni ne guadagnano in "immagine", un aspetto a cui l'amministratore delegato tiene molto. Ovviamente sta ai "ricercatori/appassionati" decidere se comunicare le falle all'interno di questo programma, guadagnando qualcosina, oppure se svelare problemi pubblicamente per il solo gusto di farlo.

Di certo la decisione di Facebook va nella direzione giusta. Google all'inizio del 2010 ha deciso di corrispondere da 500 a oltre 3000 mila dollari a chi trova una falla in Chrome. L'azienda è rimasta favorevolmente impressionata dall'apporto della comunità, tanto da decidere di espandere questo processo anche ai propri siti. 

Charlie Miller, noto ricercatore di sicurezza e vincitore diverse volte del concorso di hacking Pwn2Own, ha espresso il proprio plauso per la decisione di Facebook. "È un grande inizio. Passare dal pagare zero a dare qualcosa è probabilmente lo scoglio più grande che le aziende devono superare". Miller si augura ora che anche realtà come Microsoft, Apple e Cisco cambino politica.