Un bug bounty program (programma di caccia ai bug) è un accordo con cui un’organizzazione invita ricercatori di sicurezza indipendenti — spesso detti bug hunter o ethical hacker — a testare i propri sistemi, applicazioni o infrastrutture alla ricerca di vulnerabilità, offrendo in cambio ricompense monetarie (bounty) calibrate sulla gravità delle vulnerabilità trovate e segnalate responsabilmente. È una forma strutturata di crowdsourced security testing che integra le attività di sicurezza interna con la prospettiva di migliaia di ricercatori indipendenti con competenze eterogenee.
Modelli di programma
Programma privato: inviti esclusivi a un gruppo selezionato di ricercatori verificati. Minore esposizione, maggiore controllo sulla qualità dei report. Usato nelle fasi iniziali o per sistemi critici.
Programma pubblico: aperto a chiunque voglia partecipare. Massima copertura — più occhi sui sistemi — ma richiede un triage efficiente per gestire i report di bassa qualità.
Vulnerability Disclosure Program (VDP): non offre ricompense economiche ma garantisce ai ricercatori un canale di segnalazione sicuro e la promessa di non azione legale se seguono le regole. Standard minimo raccomandato per qualsiasi organizzazione.
Piattaforme
Le principali piattaforme che gestiscono bug bounty per conto delle aziende sono HackerOne, Bugcrowd, Intigriti e YesWeHack. Gestiscono la verifica delle vulnerabilità, il triage iniziale, i pagamenti e la comunicazione con i ricercatori, riducendo il carico operativo sul team di sicurezza dell’organizzazione.
Scope e regole
Ogni programma definisce:
- In scope: sistemi, domini e tipologie di vulnerabilità accettati
- Out of scope: sistemi esclusi (spesso infrastruttura di terze parti, sistemi legacy, ambienti di produzione ad alto rischio operativo)
- Regole di engagement: cosa è permesso (scanning, fuzzing, test con account propri) e cosa non lo è (test DoS, social engineering di dipendenti, accesso a dati di altri utenti)
- Tabella dei reward: importi per severity (Critical, High, Medium, Low), spesso espressi come range
Responsible disclosure
Il responsible disclosure (o coordinated vulnerability disclosure) è il protocollo che i ricercatori si impegnano a seguire partecipando a un bug bounty: segnalare la vulnerabilità privatamente all’organizzazione prima di pubblicarla, concedere un tempo ragionevole per la remediation (tipicamente 90 giorni, standard Google Project Zero) prima di divulgarla pubblicamente. L’organizzazione si impegna a non perseguire legalmente il ricercatore che segue le regole.
Reward e vulnerabilità critiche
Le vulnerabilità critiche (RCE, SQL injection su sistemi core, bypass dell’autenticazione) sono remunerate con cifre molto elevate. Google, Meta e Apple pagano fino a $1 milione per vulnerabilità critiche nei loro sistemi più sensibili. Il programma di bug bounty di Apple per iOS raggiunge $2 milioni per un exploit zero-click che non richiede interazione dell’utente.
Limiti
Il bug bounty non sostituisce il penetration testing strutturato né il Secure SDLC: i ricercatori tendono a concentrarsi su vulnerabilità di alto impatto e relativamente facili da trovare, trascurando vulnerabilità logiche complesse che richiedono comprensione profonda del contesto di business. È uno strumento complementare, non una soluzione di sicurezza autonoma.