Bachi e vulnerabilità: Mozilla alza la taglia a 3.000$

di Michele C. Soccio

scritto il

Forse non tutti sanno che prima ancora di Google già Mozilla offriva tramite il Security Bug Bounty Program una ricompensa a quanti scoprivano bachi in grado di mettere a rischio la sicurezza del proprio browser.

Si trattava di appena 500$, poca roba rispetto ai 1.337$, che in un caso speciale sono arrivati fino a 2.000, messi in palio da Google.

Mozilla ha ora deciso di alzare la posta e ha portato la taglia a 3.000$. E non solo. La famiglia di “prodotti” per cui si richiede l’attenzione degli esperti di sicurezza e degli hacker si allarga fino a includere anche Firefox Mobile (chiamatelo anche Fennec se vi piace), Thunderbird e ogni servizio o software che sia stato rilasciato dalla Mozilla Corporation (il ramo in carico di supportare Firefox) o dalla Mozilla Messaging (che invece si occupa di Thunderbird).

Per partecipare occorre soddisfare alcuni requisiti:

  • la vulnerabilità deve essere nuova e mai segnalata;
  • si deve trattare di una vulnerabilità remota;
  • deve colpire l’ultima versione (beta o release candidate) disponibile;
  • sono escluse le estensioni e i plugin di terze parti;
  • non possono partecipare gli autori del codice sotto accusa e comunque nessun dipendente di Mozilla.

Sembra che la tendenza sia quella di esternalizzare sempre di più la caccia al baco. Seppure ora si tratti solo di premi una tantum, e nulla esclude che si possa arrivare a veri e propri contratti stipulati con le società di sicurezza che per il momento si accontentano di vivere dei risultati indiretti delle loro ricerche (premi nelle varie conferenze e pubblicità). Ma non di sola gloria vive l’hacker.