Caçadores de recompensa: quanto as empresas pagam para quem detectar bugs em suas plataformas

jul

Caçadores de recompensa: quanto as empresas pagam para quem detectar bugs em suas plataformas – Forbes Brasil

thomaguery/Getty Images

Iniciativas premiam desenvolvedores que identificam vulnerabilidades em sistemas de empresas de tecnologia

Enquanto navegava pelo YouTube, assistindo vídeos de programação, o entusiasta de segurança da informação Andres Alonso, de 14 anos, deparou-se com algo que não conhecia: o Facebook, do bilionário Mark Zuckerberg, tinha um programa de bonificação para desenvolvedores e hackers que identificassem vulnerabilidades nas plataformas da empresa. Depois de alguns meses investigando o Instagram, ele identificou um “bug” – uma falha de sistema – em uma das ferramentas da rede social de fotos e vídeos. A descoberta lhe rendeu um prêmio de US$ 25 mil.

A bonificação recebida pelo jovem brasileiro ocorreu por meio da plataforma de “bug bounty” da companhia de Zuckerberg, como são chamadas as iniciativas que premiam desenvolvedores que identificam vulnerabilidades em sistemas de empresas de tecnologia. No caso de Alonso, a falha identificada estava no site de criação de filtros do Instagram, o Spark AR Studio. “Esses efeitos de câmeras são compartilháveis: um usuário clica e pode usar o filtro. No entanto, percebi que podia manipular os links para incluir qualquer código e, se o usuário clicasse, eu teria acesso direto à conta dessa pessoa”, explica.

LEIA TAMBÉM: Tudo que você precisa saber sobre o grupo hacker REvil, responsável por, pelo menos, quatro ataques milionários nos últimos meses

Após se inscrever no programa de recompensa, em agosto do ano passado, Alonso enviou um relatório detalhando sua descoberta por escrito e uma gravação de tela que mostrava como a falha ocorria, além dos impactos que poderia causar. Para sua surpresa, no dia seguinte o bug já estava corrigido. “Quando isso aconteceu, entendi que realmente era um problema sério para terem resolvido tão rapidamente”, afirma. Um mês depois, a companhia entrou em contato com o adolescente, agradeceu a contribuição e o informou de que receberia um prêmio. “O trabalho do bug bounty é entender como os sistemas funcionam e caçar falhas. Assim as empresas se tornam mais seguras.”

O mercado para “caçadores de bugs” como Alonso tem dado sinais de aquecimento. De acordo com o relatório “The Hacker Report”, da plataforma de “bug bounty” HackerOne, divulgado neste ano, programadores cadastrados receberam US$ 40 milhões em bonificações durante o ano passado. Um único hacker recebeu, sozinho, mais de US$ 2 milhões. No estudo, o principal motivo para a participação dos hackers nesses programas é pelo aprendizado e teste de seus conhecimentos técnicos, com 85% dos respondentes selecionando essa alternativa. Em segundo lugar, aparece os recursos financeiros como fator decisivo, em que 76% dos entrevistados escolheram essa prioridade.

Um dos principais responsáveis pelo crescimento desse mercado é o setor privado. Empresas têm abraçado a ideia de criar programas de bug bounty para prevenir que falhas e vulnerabilidades de seus sistemas sejam exploradas por cibercriminosos, evitando prejuízos financeiros e preservando a privacidade de seus clientes e colaboradores. Em 2021, a expectativa do banco suíço Julius Baer é de que crimes cibernéticos custem US$ 6 trilhões à economia global, conforme divulgado no relatório “Cybersecurity – Fighting Invisible Threats”.

Um exemplo desse tipo de prejuízo provocado por ataques cibernéticos ocorreu com a gigante de alimentos JBS que, em junho deste ano, foi obrigada a suspender alguns turnos em frigoríficos nos Estados Unidos, Canadá e Austrália após ter sido atingida por um ataque cibernético de um ransomware, que bloqueou o acesso aos sistemas e exigiu uma recompensa para liberá-los. Para evitar uma longa interrupção das atividades, a inflação do preço de seus produtos e problemas relacionados com vazamentos de dados, a empresa pagou US$ 11 milhões para os cibercriminosos.

Esta não foi a única grande invasão registrada neste ano. Em fevereiro, a CLM alertou que hackers haviam criado, a partir das pequenas brechas encontradas em diversas empresas, um data lake de informações pessoais na dark web com 3,27 bilhões de registros roubados, com e-mails, senhas e logins de usuários pertencentes a companhias como Gmail, Hotmail, Netflix e LinkedIn. No mesmo mês, a empresa de cibersegurança PSafe revelou que mais de 100 milhões de celulares brasileiros haviam sido capturados e disponibilizados também na deep web.

De olho nessa tendência – e na preocupação das companhias com a segurança e integridade de seus sistemas de informação -, a Forbes levantou cinco empresas que possuem programas de bug bounty. Confira, na galeria de fotos a seguir, quais elas: