Contenuto riservato agli abbonati

Trova una falla su Shopify, il sito premia con 40 mila euro lo studente padovano

Giovane informatico padovano scopre un “bug” nel sistema di e-commerce Shopify, lo segnala e viene ricompensato

PADOVA. Una ricompensa di 50 mila dollari (circa 42 mila euro) per aver battuto un Golia cibernetico. È accaduto ad A. Z., un ragazzo padovano di 19 anni, ex alunno del Severi oggi studente di Informatica al Bo, che ha trovato una falla in “Shopify” ed è stato ricompensato con un consistente premio in denaro. La sua storia è stata raccontata da una famosa rivista internazionale del settore facendo così il giro del mondo tra gli specialisti di informatica.

PIATTAFORMA CON UN MILIONE DI NEGOZI

Shopify è una piattaforma di e-commerce che vanta 1 milione di negozi e dunque gestisce una mole di dati personali – a cominciare dalle carte di credito – che farebbero girare la testa anche ad un moderno Lupin. «Non stavo cercando problemi su Shopify – racconta il giovane padovano – Stavo guardando invece un programma di scambio di informazioni, dentro ho trovato un file con delle credenziali, ho fatto qualche ricerca e mi sono reso conto che appartenevano ad un impiegato di Shopify: a quel punto avevo accesso al codice che decide cosa fa la piattaforma. In altre parole potevo leggerlo, ma non sarebbe dovuto succedere perché non doveva essere di pubblico dominio; inoltre la cosa più importane era che potevo modificarlo, questo significa che se fossi stato un malintenzionato potevo accedere alle carte di credito di tutti quelli che si collegavano per comprare. Shopify è un’azienda quotata in borsa per 140 miliardi di dollari, gestisce una mole di dati spaventosa. Penso che sarebbe arrivato l’Interpol a casa mia». Il giovane informatico scherza, ma la verità è che non ha mai pensato – nemmeno per un istante – di approfittare di quelle preziose informazioni: «In teoria», spiega, «potevo farlo, ma eticamente e legalmente no».

Al contrario ha segnalato la vulnerabilità del sistema con “Hackerone”, un sito usato proprio per evidenziare alle aziende i bug bounty, ovvero rischi di penetrazione di sistema. «Sapevo che una segnalazione poteva farmi guadagnare un compenso – continua – ma mi aspettavo al massimo mille euro, a farla gigantesca 5 mila euro, non di più».

LA MAXI-RICOMPENSA

E invece: «Invece dopo la mia segnalazione mi hanno risposto direttamente da Shopify in meno di due ore, chiedendomi altri dettagli. Si sono resi conto subito che il problema era grave e in brevissimo tempo l’hanno risolto. La sera stessa mi hanno ricontattato e mi hanno detto che mi avrebbero ricompensato in sette giorni. Qualche giorno dopo, intorno a mezzanotte, mentre ero sul divano che mi facevo gli affari miei, mi è arrivata la mail: avevano deciso l’importo. Appena ho visto la cifra ho pensato a 50 euro, ma poi ho visto i tre zeri».

La mattina dopo si è confidato con la mamma: «Le ho detto che avremmo dovuto avvisare la banca, come prima reazione si è spaventata: ha pensato avessi fatto qualcosa di illegale; subito dopo che fossi invece vittima di una truffa, invece qualche giorno dopo i soldi sono arrivati come promesso». Essere un cacciatore di bug non è da tutti, ma non si tratta di geni smanettoni: «Per alcuni è un mestiere vero e proprio – racconta lo studente – A me per primo piacerebbe farlo come mestiere, ma per il momento ho l’università e qualche lavoretto, come programmare videogames, e con la ricompensa mi sto pagando gli studi. Del resto questa è stata una “caccia” decisamente casuale e l’importanza della ricompensa è spiegata proprio dal fatto che non era un attacco molto complesso: poteva arrivarci chiunque, pertanto molto rischioso».

Intanto, da ragazzo sveglio e con la testa sulle spalle, ha anche messo a segno qualche investimento strategico e non molla la strada informatica.

Video del giorno

Yemen, per la prima volta speleologi si calando sul fondo del "Pozzo dell'Inferno" per oltre 110 metri

Granola fatta in casa

Casa di Vita
La guida allo shopping del Gruppo Gedi