Mentre qui in Italia ci si accapiglia ancora per distinguere “hacker buoni” e “hacker cattivi”, Google ha sborsato 2,9 milioni di dollari per ricompensare chi ha individuato e segnalato una vulnerabilità senza sfruttarla. È il bilancio del “bug bounty program” della società, che così premia i cacciatori di taglie digitali (e protegge se stessa). Niente denunce e neppure solo un “grazie”: la riconoscenza si trasforma in soldi veri, forse perché sono un incentivo migliore rispetto a una pacca sulla spalla.
La cifra è di poco inferire a quella elargita nel 2016 (quando furono superati i 3 milioni di dollari): 1,1 milioni di dollari è andato ai ricercatori capaci di individuare falle del sistema operativo Android. Altrettanto a chi ha segnalato vulnerabilità nei prodotti Google. Il resto è stato assegnato per i difetti di Chrome. Da quando il programma è stato battezzato, nel 2010, Google ha sborsato in tutto 12 milioni di dollari.
Gli white hat (cioè gli hacker etici) premiati nel 2017 sono stati 1230, residenti in 60 Paesi diversi. La ricompensa può variare molto. Parte da 500 dollari, ma in alcuni casi raggiunge cifre più consistenti. La più ricca dell'anno è stata assegnata a un ricercatore, Guang Gong, capace di indicare una falle nei Pixel, gli smartphone di Google. Ha incassato 112.500 dollari per “aver reso i dispositivi più sicuri”. Il secondo premio è andato invece a “gzobqq”: 100.000 dollari per un bug di Chrome OS.
Per Google, però, non è un costo quanto un investimento. L'eventuale sfruttamento delle falle avrebbe avuto costi certamente superiori. Mountain View non solo non si pente ma rilancia: ringrazia la comunità dei ricercatori e dice di voler ulteriormente rafforzare la collaborazione. E conferma le parole con i fatti: negli ultimi mesi ha aumentato i premi massimi che un hacker potrebbe ottenere, in base al tipo e all'importanza del bug individuato. La società non è sola: sono decine (da Airbnb a Facebook e Mastercard) le società che hanno un programma per cacciare i propri bug. Ne ha uno persino il Pentagono: quando il Dipartimento della difesa americano lo ha aperto, nell'aprile 2016, sono bastati 13 minuti per individuare la prima vulnerabilità.