La scoperta delle vulnerabilità un problema internazionale, altro che Bug Bounty. Il caso di Malta

͏Quattro studenti a Malta, ricercatori alle prime armi, stanno subendo un procedimento penale come “BugBounty”, per il loro lavoro svolto e rischiano 4 anni di carcere dopo aver scoperto una vulnerabilità nel software FreeHour, utilizzato da istituzioni educative locali.

Fai del bene e vai in galera

Come riportato dal Times of Malta, gli studenti hanno segnalato la vulnerabilità allo sviluppatore dell’app lo scorso ottobre, dando loro un limite di tre mesi per risolverla e hanno accennato a una ricompensa per gli sforzi svolti dal gruppo sotto forma di pen-test.

Giorgio Grigolo, Michael Debono, Luke Bjorn Sherry e Luke Collins stavano analizzando il software quando si sono imbattuti in una vulnerabilità che secondo loro poteva essere sfruttata.

La vulnerabilità che hanno scoperto potrebbe portare a una potenziale fuga di dati personali degli utenti del software, inclusi indirizzi e-mail, dati sulla posizione e calendario di Google.

Il bug ha anche permesso loro di apportare modifiche all’interfaccia dell’applicazione, di cui una volta hanno approfittato per assicurarsi che fosse realmente sfruttabile.

Ha funzionato perché l’infrastruttura di FreeHour, basata su Parse non sembrava essere implementata correttamente.

Dopo il test, gli studenti hanno deciso di inviare i risultati della loro ricerca via e-mail allo sviluppatore. Richiedendo in quella occasione una ricompensa a titolo di offerta, senza menzionare importi specifici.

Con sorpresa dei giovani ricercatori, un mese dopo, le forze di sicurezza li hanno perquisiti con mandati di arresto e perquisizioni alle loro abitazione. Sono stati accusati di accesso non autorizzato e hanno subito il sequestro del proprio materiale informatico.

A sua volta, FreeHour nel suo blog ha affermato di aver interpretato male il primo contatto con i ricercatori scambiandolo per un tentativo di estorsione, dandone subito comunicazione alle autorità.

Di conseguenza, i ricercatori che hanno svolto tutta l’attività di test sull’applicazione, benché senza autorizzazione specifica degli sviluppatori, sono ora al centro di un processo al pari di criminali informatici. Questo nonostante abbiano scelto di far sapere unicamente agli sviluppatori della scoperta, dandone loro tutti i dettagli utili per la correzione, che infatti non ha tardato ad arrivare, grazie proprio quelle analisi, e senza aver diffuso quando scoperto in pubblico, prima della correzione da parte di FreeHour.

È bene forse ricordare che di fatto un gruppo di criminali informatici non avviserebbe la società sviluppatrice su una vulnerabilità non ancora nota, ma la utilizzerebbe per arrecare danno, esfiltrandone il contenuto (in questo caso).

I così detti zero-days sono molto ricercati dai criminali, ma non per consegnarli agli sviluppatori!