Participantes de bug bounty podem faturar até R$ 120 mil em menos de um ano

A preocupação das empresas em encontrar soluções para se defenderem dos ciberataques aumenta a cada ano. Recentemente, uma das alternativas mais buscadas pelas corporações tem sido o bug bounty, programa de recompensa por identificação de falhas que une empresas e especialistas em programação. Esses profissionais, que desempenham um papel fundamental na garantia de privacidade de dados e na segurança da informação, podem faturar até R$ 120 mil em recompensas em menos de um ano, segundo estimativas da BugHunt, primeira plataforma de bug bounty do Brasil.

• Suspeito de vazar dados do Banco Pan é investigado pela Polícia Cívil
• O que é exploit?

Essa estimativa está presente na 1ª Pesquisa Nacional BugHunt de Segurança da Informação, realizada pela startup em 2021, que também inferiu que 29% das empresas brasileiras já investem em bug bounty, enquanto 34% pretendem fazer no futuro próximo. Essas projeções acompanham dados de como as corporações estão investindo mais em programas internos de segurança com seus funcionários, que segundo o levantamento da BugHunt, foi uma ação realizada por 79,3% das organizações no ano passado.

Os motivos para essa maior procura de segurança pelas empresas é variado, porém. Segundo o estudo da BugHunt, 53,4% delas começaram a investir mais para se prevenir de ciberataques, 50% para se adequar a LGPD e 15,5% se adaptaram após sentirem na pele o que é sofrer um golpe virtual - com o phishing sendo a ameaça que mais atingiu as empresas.

Requisitos para participar de Bug Bounty

Os participantes de bug bounty são responsáveis por identificar vulnerabilidades nos sistemas e processos das companhias. Os profissionais detectam essas fragilidades em corporações de diversos segmentos, especialmente empresas de tecnologia — como e-commerces, plataformas de criptomoedas, marketplaces, bancos, startups de saúde, portais de notícias, indústria de bebidas e empresas de telefonia e logística.

Por conta dessa atuação, o bug bounty cada vez mais vem se tornando uma opção procurada por empresas para melhorarem suas proteções digitais, resultando em profissionais ficando curiosos em quais são os requisitos para participarem de forma efetiva nesses processos. Para Caio Telles CEO da BugHunt, o primeiro passo é a versatilidade de atuação em diferentes frentes de programação: “O principal desafio para os especialistas é manter o conhecimento atualizado e conseguir identificar vulnerabilidades que outros ainda não identificaram. Para isso, é extremamente importante ficar atento a convites de programas, para encontrar as falhas antes dos outros”, detalha.

Outra competência importante para participantes de bug bounty é o conhecimento sobre o funcionamento de tecnologias variadas — como protocolos http/https, programação, banco de dados e redes, além de ter muita curiosidade. “Não basta ter criatividade, é preciso querer saber mais sobre o assunto e estudar a respeito. Dessa forma, a troca de informações com outros bughunters da comunidade também é fundamental”, explica Telles.

A habilidade de sintetizar relatórios sobre as falhas também é importante, já que os participantes de bug bounty devem entregar para os organizadores dos eventos levantamentos claros sobre o funcionamento das vulnerabilidades e que permitam que elas sejam testadas por terceiros, para assim consolidar a veracidade do problema encontrado. Além disso, sempre procurar por caminhos menos comuns que possam levar ao bug também é importante e serve como um diferencial na identificação dessas situações.

No fim, é necessário prática, mas a boa notícia, segundo Telles é que cada vez mais organizações estão adotando esses programas, abrindo mais oportunidades para participantes pegarem o funcionamento dessa atividade. “Felizmente, o setor está se desenvolvendo e as empresas adotam cada vez mais programas de recompensa por identificação de falhas, pois já chegaram à conclusão de que não é mais possível garantir a segurança apenas com as soluções tradicionais. Ou seja, é preciso aumentar a maturidade de segurança. Até por esse contexto, trata-se de um mercado em ascensão para os ‘hackers do bem’, especialmente por ser um ambiente democratizado, afinal, mesmo quem não é um expert em Tecnologia da Informação pode se inserir no meio”, conclui o CEO.

Fonte: We Live Security