Bursa vulnerabilitatilor

Experti informatici au inceput sa le ceara bani companiilor producatoare de soft pentru fiecare vulnerabilitate descoperita, uneori pretul uneia singure putand trece de 10.000 de dolari.

Linkedin este o comunitate online (social network) dedicata mediului business, cu peste 12 milioane de utilizatori inregistrati in prezent. Pe la jumatatea lunii iulie, unul dintre directorii executivi ai companiei a primit un mail alarmant de la un expert in securitate informatica. "Am descoperit o vulnerabilitate a site-ului Linkedin. Cineva rau intentionat ar putea exploata acest lucru, ceea ce ar insemna un lucru grav pentru utilizatorii dumneavoastra." Autorul mesajului este Jared DeMott, o persoana destul de cunoscuta in acest mediu al descoperirii vulnerabilitatilor informatice. Potrivit unui articol Theregister.co.uk, pentru a le furniza informatia, DeMott a cerut 5.000 de dolari. Pentru ca nu a primit nici un raspuns de la Linkedin, peste o saptamana DeMott a crescut suma la 10.000 de dolari. Neprimind in continuare nici un raspuns, a postat pe site-ul sau un cod "proof of concept" prin care demonstra severitatea punctului slab. 24 de ore mai tarziu, Linkedin aplica patch-ul.


SANTAJ SAU NU. Acest caz a starnit o vie polemica in SUA, daca este vorba sau nu despre santaj, parerile fiind impartite.
De aceste situatii nu sunt straine nici companiile din Romania.
"Nu cred ca poate fi vorba despre santaj in cazul cercetatorilor care descopera vulnerabilitati si le ofera producatorilor contra cost. Munca lor, chiar daca este benevola, trebuie platita intr-un fel, pentru ca ajuta la securizarea aplicatiilor software", ne-a declarat Alexandru Molodoi, CTO Gecad Net. "In ultimul timp chiar se vorbeste despre aparitia unor burse in care se vand si se cumpara astfel de «descoperiri». Totusi, ar fi mai bine daca cererea si oferta s-ar regla intr-un cadru mai structurat si legal", este de parere reprezentantul Gecad.

---

Despre autor: