Home Editoriale Bound program e sicurezza dati: ricompense per chi trova un bug, ma...

Bound program e sicurezza dati: ricompense per chi trova un bug, ma in Italia è uno sconosciuto

Segnalare i bug ed essere pagati per farlo: un sistema ben rodato in America e che potrebbe rappresentare una sicurezza in più nella protezione dei dati personali. Ma in Italia è un grande assente

Quello che vogliamo affrontare oggi è un tema che, trasversalmente, si ricollega alla recente vicenda che ha visto protagonista ho.Mobile e cioè il furto di diversi dati personali a danno di un certo numero di utenti.

In seguito ad ulteriori indagini, è emerso che la falla risiedeva nell’utilizzo illecito delle “api” usate da sito web ed applicazione, un bug che consentiva di accedere a determinati dati degli utenti e, di conseguenza, prelevarli. Non si può parlare di forzatura del sistema, quanto piuttosto di un errore nella programmazione di cui esperti in malafede hanno approfittato, commettendo comunque un illecito.

I bug, all’interno del settore informatico, sono frequenti e possono avere gravità più o meno severe, ma soprattutto, sono spesso frutto dell’errore umano che, in quanto tale, è un fattore che difficilmente si può prevedere o arginare del tutto. Può capitare anche al migliore dei programmatori e, anche se si sottopongono siti web e applicazioni a molteplici e scrupolosi controlli, qualcosa può sempre e comunque sfuggire.

Ecco perché, in America, diversi colossi – Google, Amazon ed Apple, per citarne alcuni – approntano il cosiddetto “bug bound program“, un programma, cioè, che promette ricompense monetarie a chiunque sia in grado di scovare un bug, una falla nel sistema. La ricompensa è solitamente rapportata alla gravità dell’anomalia segnalata, ma restiamo comunque nell’ordine delle centinaia di dollari. A titolo esemplificativo, citiamo un fatto proprio di queste ore e che riguarda un bug all’interno della piattaforma video di YouTube. Un ricercatore è riuscito a scovare un bug che consentiva, tramite manovre non decisamente intuitive, di risalire ad un singolo fotogramma di un video privato e da lì, tramite uno script, scaricare ogni fotogramma fino a ricomporre il video per intero. Per questa sua scoperta, il ricercatore è stato ricompensato con 5.000 dollari – una cifra, tutto sommato, bassa, ma adeguata al tipo di bug segnalato.

Ma, al di là del mero valore della ricompensa, è il principio collaborativo che risiede alla base di questo meccanismo ad essere interessante: le aziende, fondamentalmente, permettono a chiunque di segnalare un bug e ricompensano il bravo internauta. È un sistema, questo, che coinvolge anche gli esperti – i cosiddetti hacker – che, tramite le loro conoscenze avanzate, possono, in un certo senso, “lavorare” per le aziende e segnalare le falle, ottenendo un discreto guadagno da ogni segnalazione. Naturalmente, la promessa di una ricompensa monetaria fa la sua parte e invoglia gli esperti a prestare attenzione, ottenendo così un duplice risultato: il guadagno per il segnalatore e la chiusura della falla per l’azienda.

In Italia, prevedibilmente, quasi nessuno propone il bound program: l’unica azienda nota a muoversi in questa direzione è la Tim, che ben accetta le segnalazioni, ma in cambio non offre altro che ringraziamenti. Un sistema ben poco allettante, se paragonato a quello d’oltreoceano.

Alla luce dei recenti fatti che hanno coinvolto ho.Mobile, questa è forse una tematica che meriterebbe una più accurata riflessione da parte delle aziende informatiche italiane. Naturalmente, non siamo in grado di sapere cosa sarebbe successo se, per assurdo, il bound program fosse stato popolare e sfruttato in Italia come in America; forse il furto sarebbe stato sventato o forse no, e a parlar francamente, è ormai inutile, come si suol dire, piangere sul latte versato. Tuttavia, quello di ho.Mobile costituisce uno (dei tanti) precedenti all’interno del settore informatico italiano e forse, in una prospettiva che si affaccia al futuro, sarebbe ora di prendere a modello – o meglio, sperimentare, data la sua quasi totale assenza – il bound program, che potrebbe configurarsi non certo come la soluzione, ma come una soluzione all’odioso problema del furto dei dati personali e, più in generale, di un migliorato funzionamento di app e siti web, capace di coniugare in maniera efficace la funzionalità con la sicurezza dei propri dati.

Via: Dday.it