Facebook ha comunicato di aver depositato il maggior “bug bounty” da quando l’iniziativa di cooperazione con il mondo dei ricercatori esterni è iniziato. La logica è semplice e fa parte di una filosofia già abbracciata da molti altri grandi gruppi quali Google o Mozilla: quando un ricercatore trova un bug, lo può segnalare seguendo specifiche modalità e riceverà in cambio precise somme di denaro, proporzionalmente alla gravità del problema notificato e sulla base dell’aderenza alle regole di comunicazione del bug riscontrato.
Facebook ha in questo caso depositato la massima somma promessa: 33.500 dollari, intascati nello specifico dall’ingegnere brasiliano Reginaldo Silva (già attivo da tempo in questo genere di attività). Analizzando i codici e le procedure di Facebook, il ricercatore ha scoperto come fosse possibile accedere da remoto a file arbitrari presenti sui server del social network. Oggi tale bug è stato risolto, ma Facebook ha voluto ringraziare pubblicamente Reginaldo Silva per quanto scoperto e per l’opportunità concessa di risolvere il bug senza colpo ferire.
Grazie alla qualità del report compilato dal ricercatore, infatti, Facebook spiega di aver messo una pezza al bug già entro le prime quattro ore successive alla segnalazione. Il problema era stato verificato anche tramite proof-of-concept e nei giorni successivi il team ha voluto analizzare meglio la situazione per capire quale sarebbe stato l’intervento risolutivo migliore. A correzione avvenuta (tramite libxml_disable_entity_loader(true)
), il team Facebook ha fatto pressioni affinché al ricercatore fosse girato il massimo riconoscimento monetario possibile, il tutto in virtù della gravità del bug e della qualità della segnalazione offerta.
La cifra non è soltanto un valore pecuniario: il denaro riconosciuto fa parte del dialogo in atto tra azienda e ricercatori esterni, quantifica la gratitudine e rende solida l’iniziativa che consente al gruppo di apprendere dei propri bug prima che gli stessi facciano pericolosamente comparsa in un qualche post anonimo online o in qualche exploit. Il riconoscimento a Reginaldo Silva è pertanto una bella notizia per il diretto interessato, ma anche un rinnovato invito ad una intera community affinché si riesca a collaborare in modo efficace scambiando denaro e segnalazioni all’interno di un dialogo finalizzato alla sicurezza dell’utente finale.