Ana Luiza Maclaren e Tié Lima, fundadores da Enjoei (Leandro Fonseca/Exame)
Laura Pancini
Publicado em 10 de setembro de 2021 às 07h00.
Última atualização em 10 de setembro de 2021 às 11h08.
O Brasil é um dos países que mais sofrem com segurança de dados no mundo. Somente no primeiro trimestre de 2021, foram mais de 3,2 bilhões de tentativas de ataques cibernéticos, de acordo com levantamento da Fortinet.
Diante desse cenário, o Enjoei, e-commerce de consumidor para consumidor, fechou uma parceria com a BugHunt, primeira plataforma brasileira de Bug Bounty, para recompensar "hackers do bem" pela identificação de falhas em sua plataforma.
A plataforma dos caçadores de bugs quer ser o elo entre especialistas em cibersegurança e empresas interessadas em avaliar a proteção de seus sistemas. O hacker do bem pode ganhar até 1.500 reais pela vulnerabilidade encontrada nos serviços e soluções avaliados, dependendo do nível crítico da falha identificada.
O serviço privado, onde apenas bughunters (como são chamados os especialistas) verificados ou convidados podem participar, é o favorito das empresas. Marcas como OLX, Webmotors e Banco Máxima já fizeram este tipo de parceria com a BugHunt.
“Quando os especialistas reportam uma vulnerabilidade, o Enjoei deve rodar os processos internos de gerenciamento da vulnerabilidade para que seja corrigida de forma eficiente, no menor tempo possível e com a maior qualidade possível. Isso ajuda a melhorar o processo interno, além de aproximar o time de segurança dos times de desenvolvimento”, disse Caio Telles, CEO da BugHunt.
Para a Enjoei, cujo marketplace envolve cada cliente criar a própria "lojinha" e vender a outros usuários, garantir a segurança de quem usa a plataforma é essencial. O primeiro motivo é a Lei Geral de Proteção de Dados (LGPD), que passou a multar empresas em agosto deste ano. Segundo a BugHunt, as falhas mais encontradas nas empresas atualmente têm sido aquelas que podem expor dados pessoais, criando problemas com a lei.
A segunda razão é o aumento de tráfego na plataforma, um indicativo de que seria necessário amadurecer o nível de segurança da empresa. Nos primeiros três meses do ano, o aplicativo da marca foi baixado 5,7 milhões de vezes, quase cinco vezes mais em relação ao mesmo período de 2020, e o volume bruto de mercadoria (GMV) dobrou para 172 milhões de reais.
“Temos preocupação extrema com as informações dos usuários e da nossa operação. Não armazenamos dados de cartão de crédito. Dados pessoais, como endereço e CPF, são, sempre que possível, criptografados", disse Carlos Brando, CTO do Enjoei. “Se estamos oferecendo recompensa para quem encontrar brechas, é porque confiamos na nossa infraestrutura e estamos comprometidos em melhorar.”
Para Telles, a ação do Enjoei oferece mais segurança e a certeza de que a empresa preza pelo assunto e possui estratégias para manter em segurança os dados dos clientes. “Quando uma empresa inicia um programa de recompensas por bugs, ela ganha o olhar analítico de milhares de especialistas em segurança e, com isso, possíveis vulnerabilidades podem ser identificadas de maneira muito mais eficiente”, explica.
Hoje em dia, a BugHunt conta com milhares de especialistas inscritos, e já ajudou diversas empresas a identificarem falhas em seus sistemas. Para o executivo, conforme uma empresa acata as sugestões dos especialistas, o número de relatórios deve diminuir, e isso é um indicador de que a maturidade da companhia está aumentando.
“Os programas de recompensa por vulnerabilidades permitem o olhar dos especialistas da plataforma de maneira constante e contínua, então isso auxilia e cria a necessidade de as empresas ajustarem seus processos internos para a correção das vulnerabilidades relatadas, o que também acaba promovendo a maturidade em segurança”, ressalta.