Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
HackerOne ha ridotto le ricompense per le vulnerabilità open source, influenzando l'economia della caccia ai bug. I ricercatori devono adattarsi a un nuovo modello di pagamento
HackerOne ha drasticamente ridotto le ricompense per le vulnerabilità open source, e l’economia della caccia ai bug ha iniziato a cambiare sotto i nostri occhi. Un ricercatore che aveva inviato una segnalazione tramite il programma Internet Bug Bounty diversi mesi fa ha finalmente ricevuto la sua ricompensa, ma l’importo era di gran lunga inferiore ai livelli precedenti.
La vulnerabilità in questione è di media gravità. In precedenza, una scoperta simile su IBB avrebbe fruttato 1.843 dollari, ma da lunedì HackerOne elenca lo stesso livello a 297 dollari. La ricompensa per una vulnerabilità critica è diminuita da 9.250 a 2.257 dollari, una vulnerabilità di alta gravità ora paga 1.009 dollari invece di 4.429 dollari e i bug di bassa gravità ora fruttano 68 dollari invece di 597 dollari.
Un rappresentante dell’azienda ha dichiarato che HackerOne sta modificando le impostazioni del programma per mantenere i vantaggi per i ricercatori, gli sponsor e l’ecosistema open source.
Il programma Internet Bug Bounty rimane sospeso e non accetta nuove segnalazioni. HackerOne aveva precedentemente sospeso l’invio di nuove segnalazioni IBB a causa della crescita delle segnalazioni basate sull’intelligenza artificiale e di una revisione del modello di pagamento.
Daniel Stenberg, il creatore di Curl, ha recentemente osservato in un post su LinkedIn che il flusso di report di intelligenza artificiale di pessima qualità che il progetto riceveva è quasi completamente scomparso. Invece di messaggi deboli, gli sviluppatori stanno iniziando a ricevere un numero crescente di report di alta qualità generati dall’IA. Stenberg aveva precedentemente descritto come tali report avessero aumentato drasticamente il carico di lavoro del progetto Curl .
HackerOne non ha fornito una risposta diretta alla domanda sul ruolo dei report generati dall’IA. L’azienda si è limitata a spiegare che l’importo del pagamento IBB dipende dai contributi degli sponsor attivi e viene regolarmente adeguato in base al regolamento del programma.
Per i progetti open source, il carico di lavoro si è modificato. Gli sviluppatori addetti alla manutenzione devono ancora verificare manualmente l’impatto di una vulnerabilità, cercare duplicati, decidere se un bug oltrepassa un limite di sicurezza, coordinare la divulgazione e portare la correzione a una versione sicura. Con l’avvento degli strumenti di individuazione dei bug basati sull’intelligenza artificiale, la revisione umana è diventata la fase più costosa del processo.
I ritardi non erano ancora iniziati. A gennaio, The Register ha parlato con il ricercatore Jakub Ciolek, che in autunno aveva inviato due segnalazioni tramite IBB riguardanti vulnerabilità di tipo denial-of-service in Argo CD, un popolare controller per Kubernetes. Entrambi i problemi sono stati identificati con un CVE e corretti. Ciolek sperava di ricevere circa 8.500 dollari per le due segnalazioni, ma non aveva ricevuto risposta da HackerOne per mesi. Dopo le richieste di chiarimenti da parte dei giornalisti, la piattaforma ha comunicato che le segnalazioni erano in sospeso a causa di un temporaneo arretrato.
Un altro ricercatore ha poi descritto una situazione simile. HackerOne aveva promesso di smaltire l’arretrato di richieste entro la fine di marzo, ma il pagamento è arrivato solo ora. Il ricercatore ha ricevuto 297 dollari, nonostante avesse inviato il suo rapporto prima che la tabella dei premi venisse modificata. Ha affermato che la cosa più importante è che la piattaforma abbia finalmente pagato qualcosa.
Ciolek non ha ancora ricevuto una risposta in merito alle sue segnalazioni. Tuttavia, il ricercatore sottolinea che il problema non si limita a un importo specifico. Afferma che la riduzione dei compensi dimostra la rapidità con cui sta cambiando l’economia della divulgazione delle vulnerabilità. In passato, la semplice scoperta di un bug era considerata la risorsa più preziosa, ma l’intelligenza artificiale ha ridotto drasticamente il costo di individuazione di problemi plausibili e di generazione di segnalazioni in massa.
Inizialmente, molti sviluppatori percepirono il problema come un’ondata di segnalazioni di bug inutili generate dai programmi di ricompensa per l’IA , ma la situazione si è rapidamente complicata. I modelli sono diventati più abili nello scrivere codice, trovare errori e generare report convincenti, mentre i progetti open source hanno trovato sempre più difficile vagliare manualmente il flusso crescente di segnalazioni.
Greg Kroah-Hartman, responsabile della manutenzione del kernel Linux, ha anche affermato che le segnalazioni generate dall’IA ora contengono meno informazioni inutili e più motivi validi per effettuare un controllo. Linus Torvalds ha dichiarato domenica che la mailing list sulla sicurezza di Linux è diventata quasi ingestibile a causa dei ricercatori che utilizzano l’IA per trovare bug e che inondano il progetto di duplicati.
Ciolek vede la situazione delle mailing list di Linux come un chiaro segnale per l’intero settore. Le segnalazioni generate dall’IA sono già abbastanza interessanti da meritare attenzione, ma il flusso è diventato troppo travolgente per gli esseri umani incaricati di esaminare, correggere e coordinare la divulgazione dei problemi.
Un’altra lamentela riguarda la fiducia tra i ricercatori e le piattaforme di bug bounty. Ciolek sottolinea che le nuove regole sono state implementate dopo che il lavoro era stato completato, i bug erano stati corretti e i risultati erano stati resi pubblici. La prevedibilità del processo è alla base di una divulgazione responsabile e la revisione retroattiva dei termini costringerebbe i ricercatori seri a valutare il nuovo rischio o ad abbandonare i programmi.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]