Bursa vulnerabilităţilor

Experţi informatici au inceput să le ceară bani companiilor producătoare de soft pentru fiecare vulnerabilitate descoperită, uneori preţul uneia singure putănd trece de 10.000 de dolari.

Linkedin este o comunitate online (social network) dedicată mediului business, cu peste 12 milioane de utilizatori inregistraţi in prezent. Pe la jumătatea lunii iulie, unul dintre directorii executivi ai companiei a primit un mail alarmant de la un expert in securitate informatică. "Am descoperit o vulnerabilitate a site-ului Linkedin. Cineva rău intenţionat ar putea exploata acest lucru, ceea ce ar insemna un lucru grav pentru utilizatorii dumneavoastră." Autorul mesajului este Jared DeMott, o persoană destul de cunoscută in acest mediu al descoperirii vulnerabilităţilor informatice. Potrivit unui articol Theregister.co.uk, pentru a le furniza informaţia, DeMott a cerut 5.000 de dolari. Pentru că nu a primit nici un răspuns de la Linkedin, peste o săptămănă DeMott a crescut suma la 10.000 de dolari. Neprimind in continuare nici un răspuns, a postat pe site-ul său un cod "proof of concept" prin care demonstra severitatea punctului slab. 24 de ore mai tărziu, Linkedin aplica patch-ul.


ŞANTAJ SAU NU. Acest caz a stărnit o vie polemică in SUA, dacă este vorba sau nu despre şantaj, părerile fiind impărţite.
De aceste situaţii nu sunt străine nici companiile din Romănia.
"Nu cred că poate fi vorba despre şantaj in cazul cercetătorilor care descoperă vulnerabilităţi şi le oferă producătorilor contra cost. Munca lor, chiar dacă este benevolă, trebuie plătită intr-un fel, pentru că ajută la securizarea aplicaţiilor software", ne-a declarat Alexandru Molodoi, CTO Gecad Net. "In ultimul timp chiar se vorbeşte despre apariţia unor burse in care se vănd şi se cumpără astfel de «descoperiri». Totuşi, ar fi mai bine dacă cererea şi oferta s-ar regla intr-un cadru mai structurat şi legal", este de părere reprezentantul Gecad.