Padova, uno studente di informatica trova un bug su Shopify: l’azienda lo ricompensa con 50 mila dollari

All’estero è una pratica molto diffusa. In Italia, invece, non succede quasi mai: «Per scoprire dov’è il bug devi testarlo e di base commettere un illecito. Qui da noi quando segnali ti rispondono “ringrazia che non ti denunciamo”»

Bug Bounty Program. Soldi in cambio di segnalazioni. Il prezzo per i sistemi informatici che lasciano scoperti i loro punti deboli può essere molto caro. Sia in termini di soldi da pagare per il riscatto che per quantità di dati persi. Basta vedere quello che è successo alla regione Lazio. E così molte aziende che lavorano nell’informatica sono disposte a pagare cifre notevoli per chi segnala quali sistemi possono essere a rischio. È successo ad A.Z, 20 anni, uno studente della facoltà di Informatica di Padova che ha riportato un bug a Shopify, piattaforma canadese di e-commerce quotata 140 miliardi di dollari in Borsa. Una segnalazione che gli è valsa un premio da 50 mila dollari.


Dello studente non si sa molto di più. Preferisce non rivelare la sua identità. Ha spiegato però come ha fatto a scovare il problema: «Stavo lavorando all’interno di un programma, di cui non posso rivelare il nome. Ho trovato per caso un file con alcune credenziali, ho fatto qualche ricerca, ho provato ad usarle e mi sono reso conto che erano di un impiegato di Shopify. Ho deciso quindi di segnalare all’azienda la falla». A. Z. ha segnalato subito il bug all’azienda che lo ha corretto e ripagato: «Quella delle segnalazioni è una pratica molto diffusa all’estero. In Italia invece non succede quasi mai. Qui da noi se segnali il bug nel sistema ti denunciano. Perché? Perché per scoprire dov’è devi testarlo e di base commettere un illecito. Qui da noi quando segnali ti rispondono “ringrazia che non ti denunciamo”».


I sistemi per la segnalazione dei bug son attivi per tutte le principali piattaforme. Google ha aperto ad esempio Google Issue Tracker, dedicata alla segnalazione dei bug per il sistema operativo Android. Lo scorso aprile un ricercatore, sempre anonimo, aveva rivelato al sito Ars Technica di aver segnalato a Facebook una falla che avrebbe permesso a diversi gruppi di hacker di recuperare milioni di mail dai profili personali degli utenti. Nel 2016 Apple aveva invitato al suo campus di Cupertino diversi hacker che avevano mostrato come entrare nei rigidi protocolli di sicurezza iOS. Uno di questi era l’italiano Luca Todesco.

Leggi anche: