Chi sono gli hacker etici e perché Facebook “li pagherà”

Facebook ha inaugurato un nuovo periodo di controllo della propria sicurezza informatica. Un modo per monitorare meglio le falle del proprio sistema e soprattutto gli errori provocati da un processo quotidianamente frequentato da milioni di utenti e che, inevitabilmente, non risulta perfetto nella sua totalità.

immagine predefinita di una mano che disegna su uno screen con il logo di Facebook

Così, Mark Zuckerberg ha deciso di affidare ai cosiddetti “hacker etici” il compito di controllare periodicamente la piattaforma ed effettuare segnalazioni alla compagnia con l’obiettivo di farle aggiornare per migliorare le falle sistemiche.

Ma in cosa consiste esattamente il nuovo programma fedeltà rivolto a questi hacker etici? Un piano che garantirà premi, punti fedeltà e riconoscimenti per i risultati che raggiungeranno gli esperti di cybersecurity a caccia di falle nel sistema.

La decisione è arrivata dopo 9 anni dalla creazione del programma di bug bounty di Facebook e si chiama “Hacker Plus”. Il programma, come anticipato sopra, premierà i ricercatori di sicurezza che riusciranno ad individuare più bug all’interno del social media. L’azienda, per fare ciò, inizierà a calcolare un punteggio per ogni ricercatore che pubblicherà appunto l’individuazione di un bug. Questo punteggio terrà conto del numero di vulnerabilità individuate nell’arco di un anno (12 mesi e non solare) e del rapporto bug/noise (l’invio di segnalazioni che non sono bug) nel corso degli ultimi 24 mesi.

Hacker Plus è progettato per aiutare a costruire una comunità tra i ricercatori che partecipano al nostro programma di bug bounty, oltre a incentivare la segnalazione di qualità. Come parte di questo, abbiamo aggiornato il nostro portale Whitehat su Facebook, incluso il design dei profili dei ricercatori. Questo consentirà di riconoscere dei badge per chi si distingue per le taglie private vinte, i premi assegnati per le missioni portate a termine o il passaggio a un grado superiore di specializzazione”.

Dan Gurfinkel, responsabile dell’ingegneria della sicurezza di Facebook.

In base al punteggio ottenuto, gli hacker partecipanti verranno inseriti in una delle 5 leghe che si differenzieranno in lega rame, argento, oro, platino e diamante, in base alle quali cambieranno i bonus guadagnati con le segnalazioni e la possibilità di accedere in anticipo a funzionalità non ancora rilasciate.

screen di hacker Plus di Facebook

Non solo ricompense per i membri del programma, però, perché i livelli platino e diamante otterranno automaticamente l’accesso, interamente spesato da Menlo Park, ad eventi e competizioni del mondo della cybersecurity come per esempio l’importantissimo Defcon di Las Vegas.

Ovviamente il compito importante sarà quello di giudicare le segnalazioni ricevute e valutare la loro validità, azione affidata a Facebook stesso che svolgerà la mansione sulla base di ciò che accade già con le segnalazioni dei post offensivi da parte degli utenti. Questo sistema ha l’obiettivo primario di convincere gli hacker eticiconcentrarsi maggiormente sulla piattaforma, presentando buoni risultati costanti per non perdere il prestigio guadagnato con le segnalazioni precedenti. Un mix vincente tra effort del singolo e quello della piattaforma, nel segno di una collaborazione proficua a tratti simile a quella tra agenzie e professionisti freelance.

A questo proposito, il colosso ha rilasciato anche il Facebook Bug Description Language, uno strumento che permetterà ai ricercatori di descrivere come gli ingegneri di Facebook possono agire sui bug per ridurne l’impatto.

Announcing Hacker Plus

By Dan Gurfinkel, Security Engineering Manager

Since its inception in 2011, our bug bounty…

Pubblicato da Facebook Bug Bounty su Venerdì 9 ottobre 2020

Per l’attacco hacker più grande della sua storia e peggiore di Cambridge Analytica, Facebook rischiò una multa di 1,4 miliardi di euro dall’Unione Europea, dimostrazione di una questione che sta molto a cuore al colosso di Menlo Park che ha deciso quindi di condurre una sorta di investimento alternativo per occuparsene. I motivi di questa multa? Il Gdpr (Regolamento Generale per la protezione dei dati) punisce le companies che non sono state in grado di tutelare i dati degli utenti secondo appunto le norme del Regolamento Ue, con una multa massima di 20 milioni di euro o fino al 4% del fatturato annuo relativo all’anno precedente.

Condividi la tua opinione