«Se sei bravo a fare una cosa, mai farla gratis» diceva il Joker nel film Il cavaliere oscuro, ma anche vedere il proprio compenso ridursi a un decimo dell’ammontare originario non è particolarmente bello.

La pensa così anche Abdelhamid Naceri, esperto di sicurezza che ha scoperto una falla zero-day (ossia per la quale non c’è ancora una patch) in Windows ma, anziché avvisare Microsoft, ha preferito rendere nota l’esistenza del problema al mondo.

Se Naceri s’è comportato in un modo che qualcuno riterrebbe irresponsabili è perché il programma di ricompense per gli scopritori di bug messo in piedi da Microsoft qualche anno fa di recente è diventato molto meno attraente.

A partire dallo scorso anno – come spiega lo stesso Naceri – falle che venivano ricompensate con 10.000 dollari ora fruttano soltanto 1.000 dollari e così molti programmatori indipendenti, che dopotutto ritengono non del tutto a torto di stare facendo il lavoro che dovrebbero fare i programmatori di Microsoft, hanno iniziato a pensare di essere un po’ sottopagati.

D’altra parte, un bug scoperto ma non rivelato rischia di venire riscoperto in un secondo tempo da qualche malintenzionato che provvederà a sfruttarlo; così, Naceri ha deciso che, se non può essere pagato quanto ritiene giusto, allora costringerà Microsoft a sbrigarsi nella produzione di una patch per il bug scoperto rivelandone pubblicamente i dettagli.

Nel caso della falla scoperta da Naceri, essa nasce dall’analisi di una patch (quella per la vulnerabilità CVE-2021-41379) già preparata da Microsoft ma che fallisce nel correggere completamente il bug per la quale era stata creata.

Naceri ha pubblicato il codice dell’exploit che consente di sfruttare la falla su GitHub; Microsoft, dal canto proprio, ha fatto sapere che presto rilascerà una correzione definitiva.