Il bug bounty è una pratica molto diffusa tra le aziende di software che consiste nel pagare professionisti, siano essi singoli white hacker o aziende specializzate, per trovare bug nei propri programmi e segnalarli.
Una pratica che Google ha intrapreso fin dal 2010 e che negli 8 anni successivi è risultata in una spesa di 21 milioni di dollari. La cifra già esorbitante è ulteriormente salita l’anno scorso, quando impiegando 461 diversi operatori di sicurezza, l’azienda di Mountain View ha speso 6,5 milioni di dollari in ricerca di bug, quasi il doppio dei 3,4 del 2018.
Mettere taglie sui difetti dei propri software ha due aspetti positivi: non solo è molto meno costoso di tappare le falle nella sicurezza che questi bug causerebbero se scoperti, ma incoraggia i singoli white hacker che li trovano a segnalarli alla compagnia piuttosto che sfruttarli per fini personali.
Le taglie di Google
Dei 6,5 milioni di dollari spesi nel 2019, Google ne ha impiegati 800.000 per trovare bug in Google Play, 1,2 milioni in Chrome, 1,9 in Android e i restanti 2,1 milioni negli altri prodotti.
Inoltre i “cacciatori di bug” hanno donato l’anno scorso 507.000 dollari guadagnati in questo modo in beneficenza, una cifra mai raggiunta negli anni precedenti.
Il rapidissimo aumento delle spese in questo programma, raddoppiate in un solo anno, testimonia la velocità con cui si sta espandendo. Altro indizio a riguardo è l’aumento della ricompensa massima per chi trovasse bug in Android a un milione di dollari.