Já imaginou receber uma boa recompensa por descobrir falhas e vulnerabilidades em sistemas de terceiros? É esse o trabalho dos programas bug bounty — serviços de recompensas para os indivíduos que descobrirem bugs em sistemas — que têm sido cada vez mais adotados mundo afora. No Brasil, algumas plataformas como a BugHunt chegam a recompensar seus pesquisadores com até R$ 8 mil por bug.

O serviço bug bounty visa descobrir e resolver vulnerabilidades antes que as brechas possam causar incidentes e crises à uma marca. Segundo relatório da Tenable, fornecedora de soluções de segurança, nove em cada 10 empresas brasileiras sofreram ataques cibernéticos entre 2018 e 2019. As invasões têm sido observadas em maior número diante da pandemia do coronavírus, por isso, é de se esperar que as empresas queiram evitar possíveis brechas em seus servidores.

Basicamente, o serviço funciona assim: o programa de recompensa pode ser oferecido tanto por uma empresa como por uma plataforma que realiza a ponte entre companhias e pesquisadores de cibersegurança. Os “hackers do bem” identificam falhas e enviam os relatórios às instituições. Caso as vulnerabilidades apontadas sejam aprovadas pelos contratantes, os pesquisadores recebem uma comissão, geralmente, proporcional ao número de falhas descobertas.

image-from-rawpixel-id-902956-jpeg.jpg

As perícias são aplicadas em sistemas, aplicativos, websites e até dispositivos físicos, como totens e máquinas de cartão. Foto: Rawpixel

Bug bounty no Brasil

Apesar de o Brasil ser o terceiro país que mais sofre tentativas de ataques virtuais no mundo, a prática de bug bounty não é tanto explorada por aqui.

Os valores das recompensas ainda não podem ser comparados aos vistos no mercado internacional — que chegam a pagar até R$ 1 milhão por falha descoberta —, mas a oportunidade de negócio vem atraindo algumas plataformas.

Um dos cases de sucesso é a BugHunt, primeira empresa brasileira de recompensa por identificação de bugs. A plataforma promove a ponte entre especialistas em segurança online e as empresas contratantes do serviço.

Com cerca de 1.500 especialistas, a BugHunt oferece recompensas que podem chegar a até R$ 8 mil por falha. “O aumento dessa demanda, especificamente de cibersegurança, gerou a necessidade de novas iniciativas como a nossa”, ressalta Caio Telles, CEO da startup.

Com o crescimento estrutural da plataforma e o aumento de clientes, a empresa já projeta expansão em todo o país. “Queremos popularizar a segurança da informação, que antes era algo acessível apenas para grandes companhias. E o programa de bug bounty nos auxilia com a apresentação de uma metodologia assertiva, ágil e contínua, que reduz riscos e protege clientes e marcas”, acrescenta.