Forse non tutti sanno che prima ancora di Google già Mozilla offriva tramite il Security Bug Bounty Program una ricompensa a quanti scoprivano bachi in grado di mettere a rischio la sicurezza del proprio browser.
Si trattava di appena 500$, poca roba rispetto ai 1.337$, che in un caso speciale sono arrivati fino a 2.000, messi in palio da Google.
Mozilla ha ora deciso di alzare la posta e ha portato la taglia a 3.000$. E non solo. La famiglia di “prodotti” per cui si richiede l’attenzione degli esperti di sicurezza e degli hacker si allarga fino a includere anche Firefox Mobile (chiamatelo anche Fennec se vi piace), Thunderbird e ogni servizio o software che sia stato rilasciato dalla Mozilla Corporation (il ramo in carico di supportare Firefox) o dalla Mozilla Messaging (che invece si occupa di Thunderbird).
Per partecipare occorre soddisfare alcuni requisiti:
- la vulnerabilità deve essere nuova e mai segnalata;
- si deve trattare di una vulnerabilità remota;
- deve colpire l’ultima versione (beta o release candidate) disponibile;
- sono escluse le estensioni e i plugin di terze parti;
- non possono partecipare gli autori del codice sotto accusa e comunque nessun dipendente di Mozilla.
Sembra che la tendenza sia quella di esternalizzare sempre di più la caccia al baco. Seppure ora si tratti solo di premi una tantum, e nulla esclude che si possa arrivare a veri e propri contratti stipulati con le società di sicurezza che per il momento si accontentano di vivere dei risultati indiretti delle loro ricerche (premi nelle varie conferenze e pubblicità). Ma non di sola gloria vive l’hacker.
