Uma empresa de segurança recém-criada inaugura novo esquema na descoberta de bugs: ou o fabricante paga ou a falha é vendida a outro, ou tornada pública.

Fundada há quatro meses, a Vulnerability Discovery and Analysis (VDA) Labs avisa ao fabricante quando descobre uma falha em seu produto. Só que ela cobra do fabricante pela informação. Mais: se ele não pagar, a informação será vendida a outro eventual interessado ou simplesmente revelada ao público.

Segundo Jared DeMott, fundador da VDA, a empresa tem obtido êxito em sua atividade. Metade das empresas pagam. Há também casos em que a empresa não paga, mas contrata a VDA como consultoria de segurança. A correção da falha, então, passa a fazer parte dos serviços de consultoria.

Outras empresas já seguiram rumo semelhante ao da VDA. A WabiSabiLabi, da Suíça, faz um leilão com a informação de segurança. Obviamente, essas iniciativas são polêmicas e têm sido alvo de críticas.

Será crime :-)!? 

Anúncios