Molte aziende operanti nel settore informatico organizzano iniziative "Bug Bounty", in cui premiano i ricercatori che scoprono vulnerabilità nei loro prodotti e servizi.
Esistono anche delle competizioni internazionali, come il Pwn2Own in cui gli hacker ricevono premi in denaro dalle aziende nel caso in cui trovino delle vulnerabilità ancora non scoperte.
In generale, questa pratica, consente, tramite l'incentivo economico, di individuare rapidamente falle e bug non ancora corretti prima che vengano sfruttate da malintenzionati.
E Google, di recente, ha versato un montepremi pari a 90 mila dollari a vari ricercatori che hanno individuato ben 27 vulnerabilità, tutte patchate con Chrome 104, distribuito martedì scorso. I premi per due di queste, però, devono ancora essere quantificati, in particolare per la presenza di un bug di alto livello in termini di criticità.
Del montepremi, l'assegno più grosso è stato di 15 mila dollari, consegnato a un ricercatore anonimo che ha scoperto una vulnerabilità use-after-free nel componente Omnibox. Questo tipo di falla consente di uscire dal sandbox del browser, inoltre può essere combinata con altre vulnerabilità per perpetrare attacchi di varia natura.
Il secondo posto va a Nan Wang e Guang Gong, ricercatori di 360 Alpha Lab, che ottengono 10 mila dollari per un'altra use-after-free nel componente dedicato alla navigazione protetta. Gli stessi white hat hanno ricevuto altri 7 mila dollari per altre due vulnerabilità.
Il resto dei premi ammontava a 1000 e 7000 dollari statunitensi. A quanto pare, non sono stati riscontrati casi in cui tali falle siano state sfruttate, e in ogni caso, con la versione 104 di Chrome, l'azienda è riuscita a risolverle.
