Non capita tutti i giorni di ricevere una lettera di riconoscimento dalla NASA - National Aeronautics and Space Administration, ma è successo davvero. Ho avuto l’onore di ricevere un ringraziamento ufficiale per aver trovato e segnalato vulnerabilità nei loro sistemi.
Come è iniziato tutto
Mentre stavo girando sul web decido di analizzare alcuni server della NASA pubblici, tra questi ne ho trovati alcuni vulnerabili per cui ho deciso di segnalare al loro team di sicurezza quanto scoperto, seguendo le loro policy di responsible disclosure.
Quindi ho raccolto più evidenze possibili per spiegare al team di sicurezza della NASA:
- Dove si trovava la vulnerabilità
- Come sfruttarla in termini tecnici
- Quale impatto aveva sui loro dati
- Come risolverla
Dopo aver verificato più volte le informazioni, ho inviato il report al team di sicurezza della NASA, sperando in una risposta.
La risposta della NASA
Dopo poche ore, il team di sicurezza della NASA mi ha contattato per confermare la validità della mia segnalazione, riconoscendo che il problema individuato era reale e che poteva generare rischi effettivi per la sicurezza dei loro sistemi. Hanno quindi avviato immediatamente le operazioni per correggerlo.
Quindi mi hanno coinvolto attivamente nel processo di risoluzione, chiedendomi di collaborare fino a quando il problema non fosse stato definitivamente risolto. Dopo l’implementazione della fix, mi hanno invitato a ripetere il test per verificare l’efficacia della soluzione, con esito positivo.
🚀 E poi è arrivata la sorpresa:
La lettera dice grosso modo:
“A nome della National Aeronautics and Space Administration e della NASA’s Vulnerability Disclosure Policy (VDP), desideriamo riconoscere il tuo impegno come ricercatore indipendente in sicurezza informatica, sia per aver identificato la vulnerabilità che hai segnalato, sia per aver seguito la politica e le linee guida del VDP della NASA nel riportarla in modo responsabile.
La capacità di individuare e segnalare vulnerabilità di sicurezza è una competenza preziosa nel settore della sicurezza informatica. La tua segnalazione ha permesso alla NASA di venire a conoscenza di vulnerabilità altrimenti sconosciute, contribuendo così a proteggere l’integrità e la disponibilità delle informazioni della NASA.
Ti preghiamo di accettare questa lettera come segno di apprezzamento per il tuo impegno nell’individuare questa vulnerabilità e nel permettere alla NASA di continuare a progredire nella scienza, nella tecnologia, nell’aeronautica e nell’esplorazione spaziale, con l’obiettivo di accrescere la conoscenza, l’istruzione, l’innovazione, la vitalità economica e la tutela della Terra. Siamo tutti parte della stessa comunità di sicurezza, e la tua partecipazione ed esperienza sono altamente apprezzate.”
Cosa ho imparato
Questa piccola esperienza mi ha insegnato che:
🔹 La cybersecurity è una sfida continua, ma anche una grande opportunità per fare la differenza.
🔹 La responsible disclosure è un modo efficace per contribuire alla sicurezza globale senza creare danni o rischi.
🔹 Anche un singolo ricercatore, dall’altro capo del mondo, può dare un contributo a istituzioni di alto livello.
Ci sono tante altre realtà lì fuori con programmi di responsible disclosure pronte ad accogliere segnalazioni di vulnerabilità. Quindi, al prossimo bug! 😎