Dopo il successo riscosso dal programma, lanciato ormai diversi mesi fa, che prevede una remunerazione per coloro che riescano ad inviduare nuovi bug di sicurezza nel browser Chrome (ved. questo nostro articolo), la società di Mountain View ha deciso di estendere il “premio” in denaro anche ai “cacciatori di vulnerabilità” presenti nei suoi servizi online.
L’iniziativa ha per il momento un valore sperimentale ma, secondo i portavoce di Google, permetterà all’azienda di migliorare la sicurezza dei propri prodotti web incentivando gli sforzi da parte di collaboratori e ricercatori indipendenti. “In questo modo potremo ringraziare, con una remunerazione in denaro, coloro che ci inviano importanti segnalazioni e, contemporaneamente, attrarre verso i nostri servizi altri ricercatori“.
I vertici del colosso fondato da Larry Page e Sergey Brin intendono così incentivare l'”invio responsabile”, in forma privata, dei dettagli tecnici relativi a falle di sicurezza non rilevate durante i test interni espletati da Google. Il premio in denaro (si parla di somme comprese tra 500 e poco più di 3.100 dollari per ogni singola vulnerabilità scoperta) sarà insomma assegnato esclusivamente a coloro che eviteranno di diffondere pubblicamente informazioni sulle “défaillances” messe a nudo.
Google ha già distribuito circa una cinquantina di “premi” per altrettante scoperte di bug di sicurezza nel browser Chrome. Il prodotto è per il momento l’unico ad essere interessato dall’iniziativa riservati ai “cacciatori di vulnerabilità”: Android, Picasa o Google Desktop, ad esempio, sono al momento esclusi da operazioni simili.
E’ chiaro che l’apertura del “bounty program” ai servizi web di Google apre le porte a nuove problematiche. I bug di sicurezza più gravi, infatti, possono avere come conseguenza il danneggiamento o la modifica dei dati altrui conservati sui server della società guidata da Eric Schmidt. Per evitare questi rischi, Google ha chiarito – direttamente nelle “linee guida” del programma – cosa si può fare e cosa invece non è permesso. Niente “giochi sporchi”: non è possibile usare strumenti per l’individuazione automatica di vulnerabilità, sferrare attacchi Denial of Service (DoS), arrecare danno ai dati conservati sui server.