Malta
Gli hacker etici che salvano miliardi di dollari
Un’azienda maltese di cybersicurezza ha guadagnato oltre 1,8 milioni di euro nel 2022 grazie a una singola segnalazione di bug , che avrebbe portato alla perdita di miliardi di dollari in criptovalute.
Il viaggio del suo cofondatore Neville Grech per diventare un esperto di cybersicurezza riconosciuto a livello internazionale non è avvenuto da un giorno all’altro.
All’inizio del 2021, il collega di Grech, Yannis Smaragdakis, si è imbattuto in un bug all’interno di un servizio finanziario presente sulla blockchain, un sistema digitale in cui i due si guadagnano da vivere testando i contratti digitali alla ricerca di vulnerabilità sotto il nome di Dedaub , una società di cui sono co-fondatori.
Una volta trovato il bug, Smaragdakis ha informato Grech e i due hanno iniziato a creare un proof of concept, ovvero un documento che spiega la posizione del bug e come può essere ripetuto e abusato.
In questo caso, il bug permetteva a qualsiasi utente del servizio finanziario di rubare a qualsiasi altro utente, il che significava che erano in gioco oltre 18 milioni di euro in criptovalute.
Si trattava di una prima volta per loro, poiché nessuno dei due aveva mai segnalato una vulnerabilità di sicurezza prima d’ora.
“Ci siamo chiesti se fosse il caso di testarlo rubando effettivamente ad altri utenti e restituendo loro il denaro “, ha spiegato Grech. E hanno informato l’agenzia che era quello che dovevano fare.
Registrando tutto man mano, hanno creato il loro proof of concept e lo hanno inviato all’organizzazione interessata. L’azienda ha restituito tutti i fondi utilizzando metodi più sicuri e protetti.
“L’unica soluzione per l’azienda era rubare il denaro ai suoi utenti prima che lo facesse qualcun altro“, ha dichiarato il 38enne .
Per i loro sforzi, Grech e Smaragdakis hanno ricevuto circa 27.000 euro .
“È emozionante. Si ha la sensazione che tutti gli studi e gli sforzi fatti per migliorare stiano funzionando. C’è un senso di realizzazione… Si ha un po’ più di coraggio nel fare di nuovo una cosa responsabile “.
Nel 2022, la società di cui sono cofondatori, Dedaub, ha ricevuto un premio di ben 1,8 milioni di euro dopo aver scoperto due vulnerabilità in una società di blockchain che avrebbero portato a una perdita istantanea e irrevocabile di oltre un miliardo di dollari.
“Se l’exploit fosse stato eseguito, sarebbe stato il più grande della storia per perdita monetaria“, ha dichiarato Grech.
L’Agenzia dell’Unione Europea per la Cybersecurity descrive la blockchain come una struttura di dati pubblici composta da blocchi, ognuno dei quali rimanda al blocco precedente creando un collegamento, o catena, di transazioni cronologiche.
Grech ha sottolineato che la maggior parte degli hacker etici non segnala i problemi di sicurezza per guadagnare denaro, ma piuttosto per creare un ambiente più sicuro per la comunità digitale.
Bug bounty
Concentrarsi sulle potenziali ricompense finanziarie di questo tipo di segnalazioni può essere un problema per chi non ha altri tipi di entrate finanziarie , poiché tendono a non essere le più affidabili.
I premi in denaro per le segnalazioni – noti anche come bug bounties – non sono sempre così lucrosi come il bottino di 1,8 milioni di euro dello scorso anno e, anche quando lo sono, le aziende non sono sempre disposte a pagare l’intero importo.
“Dipende da cosa si trova “, ha detto. Quando un hacker etico invia tali segnalazioni, l’azienda valuta il valore del bug segnalato in base al suo potenziale pericolo e ai danni.
Ad esempio, Dedaub ha recentemente trovato un bug all’interno di Uniswap, uno scambio di criptovalute che offriva oltre 2,7 milioni di euro come parte di un bug bounty .
I bug bounty sono ricompense offerte dalle organizzazioni per incentivare i ricercatori di sicurezza e gli hacker a identificare e segnalare le vulnerabilità all’interno del loro software, ha spiegato Grech.
Quando Dedaub ha inviato la segnalazione del bug a Uniswap, la borsa delle criptovalute ha sostenuto che il bug non era così dannoso come avrebbe potuto essere e ha assegnato a Grech e Smaragdakis 36.000 euro .
Nonostante la ricompensa relativamente bassa, Grech ha spiegato che i bug bounty sono l’occasione perfetta per far conoscere il proprio nome nel mondo della sicurezza informatica.
“Ne abbiamo ricavato molta pubblicità, sicuramente più di quanto si possa guadagnare con 40.000 euro “.
Trovando il bug, Dedaub non solo è stato inserito nel radar di Uniswap, il quarto exchange di criptovalute per volume di scambi giornalieri, ma anche da altri operatori del settore.
I programmi di bug bounty possono essere offerti direttamente dall’organizzazione o, nella maggior parte dei casi, siti web come Immunefi raccolgono questi programmi e li elencano come una bacheca online.
Tuttavia, Grech ha spiegato che, proprio come i quattro studenti arrestati dopo aver segnalato una vulnerabilità di sicurezza in un’applicazione mobile locale, Dedaub di solito invia segnalazioni di bug alle aziende che non ne hanno fatto richiesta.
“Anche se non è presente nell’elenco, a volte chiediamo alle aziende se hanno programmi di bug bounty e di solito dicono di averli“.
Times of Malta ha rivelato che quattro studenti di informatica sono stati indagati dalle autorità dopo aver inviato una segnalazione di bug all’app locale FreeHour .
In risposta alla notizia, FreeHour ha dichiarato di non essere sicura di essere stata minacciata dagli studenti che, nella loro e-mail, hanno affermato di essere idonei a ricevere un bug bounty .
Gli studenti hanno anche concesso all’applicazione tre mesi per risolvere la vulnerabilità prima di divulgare la violazione al pubblico, un lasso di tempo comunemente concesso per questo tipo di segnalazioni, ha detto Grech.
I quattro studenti sono indagati per uso improprio di computer e accesso non autorizzato , nonostante abbiano dichiarato di essersi identificati in ogni fase della procedura con i server dell’app, che hanno poi concesso loro l’accesso richiesto.
Dedaub sta attualmente pagando le spese legali di tutti e quattro e ha assunto due studenti del gruppo: Giorgio Grigolo e Michael Debono .
Bilancio 2025: l’appello dell’industria creativa, fondi e incentivi a rischio
takeover Marsamxett Properties: la borsa si infiamma, Tigné Mall verso la svolta
sette anni a Djelassi: incendio e minacce, una notte di terrore a Senglea
Pelican Containers svela il container che rivoluziona il trasporto
Valletta sotto assedio: residenti pronti a marciare contro l’invasione dei tavolini
