Le Poste Svizzere offrono fino a 10.000 franchi a chi scopre falle nei suoi sistemi

Un bug bounty è una ricompensa che viene offerta da un’azienda o da un ente a chi trova e segnala in modo responsabile una falla o un difetto informatico in un prodotto di quell’azienda o ente. Questi premi servono per incoraggiare gli informatici a cercare queste falle, con il risultato di migliorare la sicurezza del software per tutti gli utenti.

Ovviamente l’informatico che scopre una falla è tenuto a non rivelarla a nessuno a parte l’azienda o ente che offre il bug bounty, in modo che sia possibile turarla prima che diventi nota e venga sfruttata.

Le Poste Svizzere offrono da pochi giorni uno di questi bug bounty, con ricompense da 50 fino a 10.000 franchi. Non è la prima volta che lo fa, ma in questo caso l’iniziativa è aperta a tutti, mentre in passato era accessibile soltanto su invito. Cosa non trascurabile, le Poste Svizzere offrono un safe harbor, ossia un’immunità da conseguenze legali per chi effettua test e indagini sui sistemi informatici seguendo le regole di un bug bounty. Senza questa tutela giuridica, infatti, una violazione di un sistema informatico sarebbe considerata un reato.

Per maggiori informazioni si può consultare la pagina apposita del sito delle Poste Svizzere, che porta a yeswehack.com/programs/swiss-post, dove è riportato il regolamento del bug bounty e c’è anche una hall of fame.

Le Poste spiegano di aver già trovato 500 vulnerabilità e di aver pagato circa 250.000 franchi in ricompense da quando è stato lanciato il programma, che ha dimostrato di essere efficacissimo, come racconta in dettaglio Sandro Nafzger, responsabile del programma.

A chi non conosce il settore può sembrare strano, e persino immorale, che un’azienda paghi profumatamente degli hacker per penetrare nei suoi sistemi e mostrarne le falle. Ma i bug bounty costano molto, molto meno di un test tradizionale svolto da professionisti e funzionano. Come conseguenza non trascurabile, tengono i talenti informatici al riparo dalle tentazioni del crimine organizzato. 

Secondo i dati pubblicati di recente dalla società di sicurezza Digital Shadows, infatti, le bande specializzate in reati informatici pagano cifre notevoli a chi vende loro accessi a sistemi aziendali. Un semplice initial access broker, ossia una persona che trova una falla in un sistema ma non la sfrutta e invece la rivende ad altri, diventando l’equivalente informatico di una persona che scassina una cassaforte e poi se ne va, lasciando ad altri il compito di vuotarla e riciclare il bottino, può guadagnare in media dai 7000 ai 9000 dollari. E questo genere di attacco è aumentato fortemente per via del lavoro da remoto di molte persone durante questa pandemia.