Já imaginou receber uma boa recompensa por descobrir falhas e vulnerabilidades em sistemas de terceiros? É esse o trabalho dos programas bug bounty — serviços de recompensas para os indivíduos que descobrirem bugs em sistemas — que têm sido cada vez mais adotados mundo afora. No Brasil, algumas plataformas como a BugHunt chegam a recompensar seus pesquisadores com até R$ 8 mil por bug.
O serviço bug bounty visa descobrir e resolver vulnerabilidades antes que as brechas possam causar incidentes e crises à uma marca. Segundo relatório da Tenable, fornecedora de soluções de segurança, nove em cada 10 empresas brasileiras sofreram ataques cibernéticos entre 2018 e 2019. As invasões têm sido observadas em maior número diante da pandemia do coronavírus, por isso, é de se esperar que as empresas queiram evitar possíveis brechas em seus servidores.
Basicamente, o serviço funciona assim: o programa de recompensa pode ser oferecido tanto por uma empresa como por uma plataforma que realiza a ponte entre companhias e pesquisadores de cibersegurança. Os “hackers do bem” identificam falhas e enviam os relatórios às instituições. Caso as vulnerabilidades apontadas sejam aprovadas pelos contratantes, os pesquisadores recebem uma comissão, geralmente, proporcional ao número de falhas descobertas.
As perícias são aplicadas em sistemas, aplicativos, websites e até dispositivos físicos, como totens e máquinas de cartão. Foto: Rawpixel
Bug bounty no Brasil
Apesar de o Brasil ser o terceiro país que mais sofre tentativas de ataques virtuais no mundo, a prática de bug bounty não é tanto explorada por aqui.
Os valores das recompensas ainda não podem ser comparados aos vistos no mercado internacional — que chegam a pagar até R$ 1 milhão por falha descoberta —, mas a oportunidade de negócio vem atraindo algumas plataformas.
Um dos cases de sucesso é a BugHunt, primeira empresa brasileira de recompensa por identificação de bugs. A plataforma promove a ponte entre especialistas em segurança online e as empresas contratantes do serviço.
Com cerca de 1.500 especialistas, a BugHunt oferece recompensas que podem chegar a até R$ 8 mil por falha. “O aumento dessa demanda, especificamente de cibersegurança, gerou a necessidade de novas iniciativas como a nossa”, ressalta Caio Telles, CEO da startup.
Com o crescimento estrutural da plataforma e o aumento de clientes, a empresa já projeta expansão em todo o país. “Queremos popularizar a segurança da informação, que antes era algo acessível apenas para grandes companhias. E o programa de bug bounty nos auxilia com a apresentação de uma metodologia assertiva, ágil e contínua, que reduz riscos e protege clientes e marcas”, acrescenta.