Cresce o mercado de "caça bugs", que oferece até US$ 31 mil por falha encontrada

Imagine que um amigo seu, que é engenheiro eletricista, faz uma visita à sua casa, descobre rapidamente uma falha elétrica que poderia incendiar tudo e informa a você para fazer o reparo. Legal, né? É mais ou menos isso que fazem os caçadores de falhas, ou bug hunters, nos sistemas de tecnologia de empresas. Mas não o fazem a favor: na verdade ganham um bom dinheiro, tanto lá fora quanto no Brasil.

• Evento nacional oferece recompensas para hackers caçadores de falhas em sistemas
• Como pagar recompensas por identificação de falhas acelera a proteção de empresa
• O que é um hjacker?

O Google, por exemplo, para entre US$ 100 (R$ 515 na cotação atual) e US$ 31.337 (R$ 161,5 mil) para esses "hackers do bem" acharem brechas em seus produtos. Em abril, a descoberta de duas falhas graves no Windows 10 rendeu US$ 80 mil a dois programadores. No Brasil, a tendência ainda não é muito propagada, mas algumas plataformas já começam a "espalhar a palavra" do bug bounty.

Uma das primeiras empresas brasileiras voltadas ao setor foi a Bug Hunt, surgida em 2019. Criada por Caio e Bruno Telles, a plataforma faz um "match" entre programadores e empresas. A ideia é que eles detectam suas grandes vulnerabilidades antes que algo pior aconteça.

"Enquanto os programadores focam na implementação segura de algum sistema, o bug hunter foca em entender a implementação do programador e, com seu conhecimento vasto em falhas, encontrar uma forma de burlar esse sistema", diz Andres Alonso, programador mineiro de 15 anos que descobriu em outubro de 2020 uma brecha no Instagram e ganhou US$ 25 mil (R$ 128,8 mil) do Facebook.

Alonso criou neste ano a plataforma The Bug Hunter ao lado de Bruno Fraga, que também é dono de outra iniciativa do tipo, a Maratonas Academy. Assim, os dois seguem exemplos de fora, de plataformas como BugCrowd e HackerOne. Nesta última, os hackers ganharam US$ 40 milhões (R$ 206 milhões) apenas em 2020. Um deles embolsou sozinho US$ 2 milhões (R$ 10 milhões).

A Bug Hunter é um curso de capacitação de caçadores de falhas. Alonso fechou a primeira turma em julho. Já a Maratonas é um curso que ensina programação aos alunos com uma metodologia curiosa: incentivando-os a clonar startups em pouquíssimo tempo. Seu primeiro módulo, por exemplo, foi o desafio de clonar a Netflix em uma maratona de apenas 24 horas.

"Eu criei minha própria plataforma devido ao pouco conteúdo em português existente sobre o assunto, além da dificuldade dos iniciantes de aprenderem e darem seu primeiro passo para entrar no mercado", diz Alonso ao Canaltech. A plataforma possui uma assinatura anual de R$ 493 e ela dá acesso a cursos, conteúdos e lives mensais.

O mercado para tecnologia da informação está aquecido no Brasil. No primeiro trimestre de 2021, foram gerados 52 mil novos empregos na área contra 17 mil no mesmo período de 2020, segundo a Brasscom (Associação das Empresas de Tecnologia da Informação e Comunicação). Por isso esse mercado de cursos, empresas e edtechs voltadas à programação está sendo atraente para muitos jovens do setor.

Segundo Alonso diz no site The Bug Hunter, algumas das vantagens para os programadores são:

• Aprender hacking explorando sistemas das próprias empresas;
• Ganhar dinheiro com hacking legalmente;
• Trabalhar de onde quiser, quando quiser;
• Liberdade como freelancer, já que poderá prestar serviço a mais de uma empresa.

O que uma plataforma ou programa de bug bounty faz?

Os programas de recompensas por bugs permitem que qualquer pessoa, com ou sem conhecimento técnico prévio, ganhe experiência em hacking ético. Além de motivar a entrada de profissionais na segurança digital, ajuda a aumentar a segurança dos sistemas ao revelar suas falhas e brechas inexploradas.

"É uma ferramenta de aprendizado muito boa e, em geral, tem sido uma grande ajuda para gerar maior conscientização sobre a importância do desenvolvimento de aplicativos seguros", diz Alan Warburton, analista de resposta a incidentes no site da Eset.

Qualquer pessoa pode participar como um hobby ou como uma forma de ganhar dinheiro com as recompensas. Já as plataformas e programas definem valores em dinheiro diferentes para quem detectar falhas de acordo com o seu nível de gravidade. Alguns desses programas são públicos — como os das big techs Amazon, Google e Facebook — mas a maioria deles são fechados para convidados.

É ok confiar em hackers?

Parece estranho pedir a ajuda de hackers para ajudar na cibersegurança da sua empresa. Mas à medida que o mundo fica mais conectado, as vulnerabilidades crescem na mesma proporção. Portanto, promover a pesquisa de segurança nos sistemas com boas recompensas é considerada uma boa oportunidade para tornar as empresas mais seguras, ainda mais em tempos de LGPD (Lei Geral de Proteção de Dados Pessoais).

"Com certeza o bug bounty vai ser o futuro da segurança digital, já que apenas contratar profissionais da área não torna uma empresa totalmente segura. Ele permite a visão de um mesmo sistema de diferentes pontos de vista, fazendo com que pesquisadores no mundo inteiro encontrarem falhas que não foram vistas pelos funcionários de grandes empresas", analisa Alonso.