Il gigante giallo apre al pubblico il suo programma di "bug bounty". Con tanto di ricompense per chi scova una falla
La Posta aveva lanciato il programma, con accesso su invito, nel maggio del 2020. Marcel Zumbühl: «Dal lancio abbiamo già trovato 500 vulnerabilità e pagato circa 250’000 franchi in ricompense».
BERNA - Hackerare la Posta? Ora lo possono fare tutti. Suona come una provocazione, ma è in realtà il lancio del programma pubblico di "bug bounty" a cui il gigante giallo ha dato il via per mettersi alla caccia di falle e vulnerabilità dei propri sistemi informatici. Con tanto di "taglie" da riscuotere che vanno dai 50 ai 10'000 franchi.
La Posta, una delle prime aziende a farlo in Svizzera, ha avviato un programma di "bug bounty" permanente poco meno di un anno fa. Era il mese di maggio 2020 e i primi hacker ben intenzionati - i cosiddetti "hunter" - furono invitati a saggiare la sicurezza di alcuni sistemi IT alla ricerca di potenziali problemi. Si trattava però di un programma esclusivamente privato a cui solamente gli hacker con un invito potevano prendere parte alla "battuta di caccia". Ora invece, quella possibilità è estesa a tutti i "cacciatori" registrati sulla piattaforma YesWeHack.
La sicurezza, spiega il Chief Information Security Officer del gigante giallo, Marcel Zumbühl, «è un processo, non uno stato. Il programma bug bounty ci permette di potenziare la sicurezza delle nostre informazioni» e «di sfruttare le conoscenze collettive della community internazionale degli hacker per perfezionare i processi in uso». In un primo momento, ai nuovi "cacciatori" sarà chiesto di occuparsi dei servizi «che sono già stati migliorati nella prima parte privata». Tra questi ci sono il login per i clienti della Posta, la Post-App, il Postshop, la gestione degli invii e il servizio PubliBike per il bike sharing.
Le "taglie" che si possono riscuotere
Come detto, il programma prevede un ventaglio di ricompense, che sono stabilite in base al grado di criticità della falla individuata. L'hacker la trova, la Posta avvia le misure necessarie per risolverla e verificare le eventuali ripercussioni su altri servizi. «Dal lancio del programma - spiega Zumbühl - abbiamo già trovato 500 vulnerabilità e pagato circa 250’000 franchi in ricompense».