Chi trova un bug nel sistema anti-cheat “Vanguard” sviluppato da Riot può mettersi in tasca qualcosa come 100 mila dollari. Il bando è stato lanciato nei giorni scorsi per attirare talenti e ricerca attorno al codice del gruppo, identificando evidentemente in questo sistema un elemento in grado di alzare tanto gli introiti da poter meritare una campagna di questa caratura.
Quanto può valere un bug? Le campagne di bug bounty, elemento che ha creato una divisione etica tra chi le sposa (come Google) e chi le rigetta (come ha fatto in passato Microsoft), hanno abituato i cercatori di falle a “rimborsi” del valore di poche migliaia di dollari, fino a qualche decina nei casi più gravi. Così è anche nel caso di Riot, dove le falle sono retribuite dai 250 dollari in su, ma nell’ordine delle poche migliaia di euro.
Vanguard: quanto paga Riot
Il premio promesso per il sistema Vanguard è invece qualcosa di differente e di ulteriore, probabilmente pensato per attirare ricercatori laddove meno si concentravano: 100 mila dollari sono a disposizione per chiunque trovi bug che consentano di aggirare il sistema anti-cheat (ossia quei meccanismi che consentono ai pirati di aggirare l’accesso alle risorse del gruppo). Raramente le campagne di bug bounty hanno raggiunto cifre similari, a maggior ragione se limitatamente al mondo del gaming: il motivo è evidentemente legato al tipo di software in esame ed alle polemiche che lo hanno coinvolto in passato relativamente al fatto che rimanesse in esecuzione sul sistema aprendo potenzialmente a pericoli in caso di attacco. Non basta però mettere in campo del denaro per garantire la sicurezza del sistema anti-cheat, che per come è stato ideato sembra aprire comunque il fianco ad attacchi: i dubbi su Vanguard sono destinati a restare, nonostante il bando, nonostante la lettera di rassicurazioni del gruppo, nonostante tutto quel che potrà essere ideato per dar forza ai controlli.
Ovviamente il bando è ben esplicitato in ogni dettaglio. Questi i premi promessi, legati al tipo di attacco ed al livello di pericolosità relativo:
- Local attack for privilege escalation: 25.000/35.000 dollari
- Network attack requiring user interaction (1 click): 50.000/75.000 dollari
- Network attack with no user interaction: 75.000/100.000 dollari
La scoperta va ovviamente comunicata secondo modalità specifiche, senza renderne pubblici i dettagli pena il decadimento del premio.