Netflix Public Bug Bounty Program: a caccia di bug per soldi

0

Il noto servizio di streaming di contenuti multimediali ha annunciato il lancio del Netflix Public Bug Bounty Program. Si tratta della possibilità per chiunque di trovare bug nella piattaforma e ricevere un compenso in base alla gravità della falla trovata nel codice. La società statunitense non è la prima a muoversi in questo senso ma sicuramente è un passo avanti per la sicurezza degli utenti.

netflix

Secondo la società statunitense, l’obiettivo è quello di salvaguardare gli oltre 117 milioni di utenti in giro per il mondo che mettono credenziali all’interno del sistema e che quindi non vorrebbero che queste ultime finissero nelle mani sbagliate.

Negli ultimi anni, prima del lancio di Netflix Public Bug Bounty Program, la società aveva già collaborato con programmi di divulgazione responsabile dei bug e la comunicazione di bug in privato da parte degli utenti. Ora, attraverso la piattaforma Bugcrowd, si continuerà e migliorerà la strada per la sicurezza dei prodotti e servizi.

Già nel 2013 Netflix aveva iniziato a cercare la collaborazione della comunità, che nel mentre cresceva, per segnalare problemi di sicurezza. Attualmente, secondo i numeri ufficiali, sono stati riscontrati e corretti circa 190 bug. A Settembre 2016 è arrivato invece il momento del lancio di un programma privato per la ricerca dei bug che ha visto via via aumentare i ricercatori impegnati nella sicurezza della piattaforma (si è arrivati a 100 dei migliori ricercatori su Bugcrowd).

Nell’ultimo anno però la ricerca e la necessità di assicurare il meglio per gli utenti ha spinto Netflix ad arrivare a 700 ricercatori. Abbiamo tentato di mettere a punto le cose come la qualità del triage, il tempo di risposta e le interazioni dei ricercatori per costruire un programma di qualità a cui i ricercatori desiderano partecipare.

Con il sistema privato si è arrivati a scoprire 145 bug (su un totale di 275 possibili bug segnalati). La ricompensa maggiore per aver trovato un bug nel programma è stata pari a 15 mila dollari per una vulnerabilità di livello critico.

Per Netflix risolvere i bug più velocemente possibile è essenziale e attualmente ci si assesta su una media di 2,7 giorni (con un massimo di 7 giorni). Per chi troverà bug particolarmente gravi o sconosciuti ci sarà anche un posto nella Hall of Fame dei ricercatori di sicurezza. Secondo quanto scritto su Bugcrowd (link in fondo alla notizia), si può leggere che la paga varia da 100 dollari fino a 15 mila dollari in base alla gravità del bug.