Caçadores de recompensa: quanto as empresas pagam para quem detectar bugs em suas plataformas
Gabriela Del Carmen e Matheus Rigatech@forbes.com.br
15 de julho de 2021
thomaguery/Getty Images
Iniciativas premiam desenvolvedores que identificam vulnerabilidades em sistemas de empresas de tecnologia
Enquanto navegava pelo YouTube, assistindo a vídeos de programação, o entusiasta de segurança da informação Andres Alonso, de 15 anos, deparou-se com algo que não conhecia: o Facebook, do bilionário Mark Zuckerberg, tinha um programa de bonificação para desenvolvedores e hackers que identificassem vulnerabilidades nas plataformas da empresa. Depois de alguns meses investigando o Instagram, ele identificou um “bug” – uma falha de sistema – em uma das ferramentas da rede social de fotos e vídeos. A descoberta lhe rendeu um prêmio de US$ 25 mil.
A bonificação recebida pelo jovem brasileiro ocorreu por meio da plataforma de “bug bounty” da companhia de Zuckerberg, como são chamadas as iniciativas que premiam desenvolvedores que identificam vulnerabilidades em sistemas de empresas de tecnologia. No caso de Alonso, a falha identificada estava no site de criação de filtros do Instagram, o Spark AR Studio. “Esses efeitos de câmeras são compartilháveis: um usuário clica e pode usar o filtro. No entanto, percebi que podia manipular os links para incluir qualquer código e, se o usuário clicasse, eu teria acesso direto à conta dessa pessoa”, explica.
Após se inscrever no programa de recompensa, em agosto do ano passado, Alonso enviou um relatório detalhando sua descoberta por escrito e uma gravação de tela que mostrava como a falha ocorria, além dos impactos que poderia causar. Para sua surpresa, no dia seguinte o bug já estava corrigido. “Quando isso aconteceu, entendi que realmente era um problema sério para terem resolvido tão rapidamente”, afirma. Um mês depois, a companhia entrou em contato com o adolescente, agradeceu a contribuição e o informou de que receberia um prêmio. “O trabalho do bug bounty é entender como os sistemas funcionam e caçar falhas. Assim as empresas se tornam mais seguras.”
O mercado para “caçadores de bugs” como Alonso tem dado sinais de aquecimento. De acordo com o relatório “The Hacker Report”, da plataforma de “bug bounty” HackerOne, divulgado neste ano, programadores cadastrados receberam US$ 40 milhões em bonificações durante o ano passado. Um único hacker recebeu, sozinho, mais de US$ 2 milhões. No estudo, o principal motivo para a participação dos hackers nesses programas é pelo aprendizado e teste de seus conhecimentos técnicos, com 85% dos respondentes selecionando essa alternativa. Em segundo lugar, aparece a remuneração como fator decisivo, prioridade escolhida por 76% dos entrevistados.
Um dos principais responsáveis pelo crescimento desse mercado é o setor privado. Empresas têm abraçado a ideia de criar programas de bug bounty para prevenir que falhas e vulnerabilidades de seus sistemas sejam exploradas por cibercriminosos, evitando prejuízos financeiros e preservando a privacidade de seus clientes e colaboradores. Em 2021, a expectativa do banco suíço Julius Baer é de que crimes cibernéticos custem US$ 6 trilhões à economia global, conforme divulgado no relatório “Cybersecurity – Fighting Invisible Threats”.
Um exemplo desse tipo de prejuízo provocado por ataques cibernéticos ocorreu com a gigante de alimentos JBS que, em junho deste ano, foi obrigada a suspender alguns turnos em frigoríficos nos Estados Unidos, Canadá e Austrália após ter sido atingida por um ataque cibernético de um ransomware, que bloqueou o acesso aos sistemas e exigiu uma recompensa para liberá-los. Para evitar uma longa interrupção das atividades, a inflação do preço de seus produtos e problemas relacionados com vazamentos de dados, a empresa pagou US$ 11 milhões para os cibercriminosos.
Esta não foi a única grande invasão registrada neste ano. Em fevereiro, a CLM alertou que hackers haviam criado, a partir das pequenas brechas encontradas em diversas empresas, um data lake de informações pessoais na dark web com 3,27 bilhões de registros roubados, com e-mails, senhas e logins de usuários pertencentes a companhias como Gmail, Hotmail, Netflix e LinkedIn. No mesmo mês, a empresa de cibersegurança PSafe revelou que mais de 100 milhões de celulares brasileiros haviam sido capturados e disponibilizados também na deep web.
De olho nessa tendência – e na preocupação das companhias com a segurança e integridade de seus sistemas de informação -, a Forbes levantou cinco empresas que possuem programas de bug bounty. Confira, na galeria de fotos a seguir, quais elas:
C6 Bank A fintech desenvolveu o primeiro programa de “bug bounty” da indústria de serviços financeiros no Brasil. Elaborada em 2019, a iniciativa faz parte da plataforma de recompensas HackerOne. Nela, o banco digital possui sua própria página, onde as oportunidades são divulgadas para os desenvolvedores. As recompensas variam entre US$ 150, para vulnerabilidades de baixo risco, a US$ 2.400, para as falhas mais graves. O líder da área de segurança digital do C6 Bank, José Luiz Marques Santana, em entrevista à Forbes, conta que a fintech já pagou sete recompensas entre o início de 2020 e o primeiro semestre deste ano. Segundo ele, nunca foram encontradas falhas graves nos sistemas do banco digital, e a média paga nos bounties do ano passado foi de US$ 825. “Testar continuamente o que você desenvolve e constrói internamente é vital para a estratégia de segurança”, afirma. “O bug bounty é uma forma de ter acesso a programadores extremamente qualificados, do mundo inteiro, testando minha plataforma por um custo efetivo e acessível.” Atualmente, a fintech trabalha com um grupo privado de 250 desenvolvedores e programadores, que foram introduzidos, inicialmente, pela própria HackerOne. Essa proximidade, diz Santana, é essencial para nivelar o conhecimento técnico de quem está observando os sistemas da empresa. “Acontece muito de serem reportadas vulnerabilidades que não existem, o que desgasta o time interno em análises e revisões.”more
Facebook O programa do Facebook, também conhecido como “Facebook Bug Bounty”, pode ser acessado pelo link facebook.com/whitehat, onde há detalhes sobre as condições de participação e de pagamentos. Com mais de 10 anos, a iniciativa premia programadores por descobrirem inconsistências nas plataformas do grupo, como o próprio Facebook, Instagram e WhatsApp. Desde 2011, mais de 130 mil relatórios de vulnerabilidades encontradas foram enviados para a empresa, dos quais 6.900 receberam premiações por bugs apontados. O valor mínimo das recompensas é de US$ 500, mas pode chegar a US$ 80 mil, dependendo da importância da falha detectada. Em 2020, a empresa desembolsou US$ 1,98 milhão para mais de 1.000 programadores em 50 países. “O programa foi lançado há uma década para recompensar e reconhecer a contribuição dos pesquisadores de segurança que nos reportam problemas e nos ajudam a manter as plataformas seguras. Ele tem tido um papel fundamental em nos ajudar a detectar e corrigir rapidamente vulnerabilidades, assim como identificar tendências de segurança”, afirmou a empresa em nota enviada à Forbes.more
Amazon A gigante do varejo é outra companhia que possui presença na plataforma HackerOne. Fundada pelo bilionário Jeff Bezos, a empresa paga US$ 100 para falhas consideradas de baixo risco, US$ 500 para as de nível médio, US$ 2.500 para as altas vulnerabilidades e US$ 15.000 para as consideradas “críticas”. Lançada em abril de 2020, o “Amazon Vulnerability Research Program” já recebeu 670 relatórios, sendo que 244 foram respondidos. O valor total já pago para programadores não é divulgado. Além do programa institucional com remunerações em dinheiro, a Amazon, por meio de sua divisão de nuvem, a AWS, lançou neste ano um desafio mundial para a resolução de bugs. Intitulado “AWS BugBust”, a competição permite que empresas se cadastrem e publiquem códigos que precisam de revisões. Desenvolvedores podem aceitar o desafio e, caso tenham sucesso na resolução dos bugs, recebem pontos. No fim, os 10 melhores programadores no mundo - com a maior pontuação na plataforma - são premiados com uma viagem para Las Vegas para o evento AWS re:Invent, que será realizado entre novembro e dezembro deste ano. A líder de arquitetura de soluções da AWS no Brasil, Fernanda Spinardi, diz que eventos como o AWS BugBust são importantes não só para os desenvolvedores melhorarem seus processos de análise, mas também para auxiliar as empresas a aperfeiçoarem seus aplicativos e softwares, tornando-os mais seguros e confiáveis. “Conforme as bases de código se tornam maiores e novos recursos são adicionados, o volume e a complexidade das revisões aumentam”, diz. Segundo ela, eventos como o BugBust propiciam a troca de experiências e práticas mais fáceis para a detecção de falhas e vulnerabilidades.more
Netflix A plataforma de streaming de vídeos e séries Netflix também procura por desenvolvedores e programadores para resolver falhas de segurança e bugs em seus sistemas. A companhia tem uma página onde anuncia suas oportunidades e um canal de aproximação com os hackers na plataforma Bugcrowd. O valor das recompensas varia conforme a prioridade e o risco que a falha relatada apresenta para a operação da empresa. No nível mais básico, o bônus varia entre US$ 200 e US$ 500. No nível mais crítico, os valores ficam entre US$ 4.000 e US$ 20.000. Nos últimos três meses, a média paga pela Netflix por bug reportado ficou em US$ 1.259. No Bugcrowd, a companhia já recompensou 597 vulnerabilidades informadas.more
Twitter A rede social também aproveita o conhecimento de pesquisadores de segurança digital para corrigir falhas de seus sistemas. Na página do HackerOne, a companhia anuncia oportunidades e possui um canal aberto para receber denúncias. Desde 2014, o Twitter já pagou mais de US$ 1,4 milhão para mais de 968 desenvolvedores que reportaram cerca de 1.300 vulnerabilidades da plataforma. O pagamento oferecido pela empresa, assim como nos demais casos, varia conforme a gravidade do problema apresentado. O valor mínimo é de US$ 280, mas pode chegar a US$ 20.160. Em média, a companhia paga US$ 560 por relatório de bug apresentado. more
