Aumentam empresas e recompensas para hackers que caçam falhas em sistemas

Com a alta dos crimes virtuais que se aproveitam de falhas dos sistemas das empresas para roubar dados, as corporações estão vendo nos “Hackers do bem”, especialistas de tecnologia que investigam sistemas em busca de falhas, uma grande arma para melhor proteção, a partir de programas de recompensas.

• Excel é usado por criminosos para espalhar vírus em novo golpe virtual
• Confira 3 casos inusitados de ataques ransomware em diferentes instituições

Chamados bug bounty (recompensa por bugs, em tradução livre), os programas de premiação convocam os chamados "Hackers do bem" para explorar sistemas de empresas em busca de falhas e vulnerabilidades que possam ser exploradas, possibilitando que as companhias possam corrigi-las antes de algum agente malicioso utilizá-las como vetor de crimes ou fraudes.

Nos Estados Unidos, esse é um mercado de milhões de dólares, com programas de caça de recompensa de empresas como Google e Apple oferecendo US$ 1 milhão (R$ 5,57 milhões, na cotação atual) para programadores que conseguirem realizar um ataque nos seus sistemas de segurança ou identificar falhas neles.

Outro exemplo internacional é a plataforma GitHub, de compartilhamento de códigos, que conta com um serviço onde usuários podem mandar relatórios de falhas para avaliação. Se a informação compartilhada for considerada algo crítico, o site paga uma quantia pela descoberta.

Por fim, o Twitter também conta com iniciativas para incentivar a caça de falhas, mas normalmente elas ficam abertas durante tempo limitado. Em agosto, a plataforma fez um concurso para programadores identificarem possíveis vieses nos algoritmos de imagem usados pela rede social. O resultado, conforme mostrado pelos desenvolvedores participantes, foi a confirmação que o algoritmo era racista e sexista.

A caça de vulnerabilidades no Brasil

Com a aceleração da transformação digital causada pela pandemia, e o aumento dos ataques virtuais, as empresas começam a encarar a realidade de precisar buscar outras formas de aumentar suas soluções de segurança, com muitas companhias brasileiras lançando programas de recompensas com premiações de até R$ 15 mil para quem identificar falhas críticas.

Uma das empresas que fez isso é o Nubank, que lançou recentemente seu programa de recompensa para detecção de falhas, com premiações a partir de US$ 150 (R$ 856, aproximadamente). Para o jornal Estadão, Rodrigo Santos, gerente de Engenharia de Segurança de Informação da empresa, afirmou que segurança é um dos pilares da operação da empresa.

O programa atual de caça a bugs do Nubank foi feito na modalidade privada, ou seja, somente profissionais escolhidos pela empresa podem participar, o que, neste primeiro momento, vem se tornando comum no Brasil. Lá fora, a maioria das bug bounty são feitas na modalidade pública, em que qualquer pessoa com experiência em programação pode participar.

Para Bruno Telles, fundador da BugHunt, plataforma brasileira de caça de recompensas, em comunicado para o Estadão, a insegurança das empresas faz com que elas entrem mais cuidadosamente nessas iniciativas, por isso muitas vezes optando pela modalidade privada, já que desse jeito não estarão abrindo seus sistemas para pessoas ou programadores amadores e que não podem comprovar serem de confiança.

A BugHunt foi criada em março de 2020, e atualmente tem cerca de 7 mil hackers inscritos e 25 programas de caça de recompensas ativos, em parceria com empresas como OLX, Webmotors e Enjoei. Porém, para Telles, essa iniciativa como um todo só está começando no Brasil, mas com o avanço da digitalização deve começar a ganhar tração nos próximos anos.

Fonte: Estadão