Hackers: especialistas já reportaram mais de 2 mil vulnerabilidades na plataforma (GettyImages/Getty Images)
Laura Pancini
Publicado em 10 de março de 2022 às 12h09.
Última atualização em 10 de março de 2022 às 12h33.
Com o crescimento exponencial de ciberataques nos últimos anos, as corporações brasileiras estão mais atentas ao Bug Bounty, programa de recompensas por identificação de falhas em plataformas, e têm apostado cada vez mais nesta iniciativa.
Prova disso é a BugHunt, primeira plataforma brasileira de Bug Bounty, que viu seu faturamento e carteira de clientes crescerem 140% em 2021 e agora acaba de lançar o programa VDP (Vulnerability Disclosure Program), completamente gratuito para empresas e o primeiro deste tipo no Brasil.
A BugHunt é o elo entre empresas e especialistas, que se cadastram na plataforma e operam como “hackers do bem”. A partir dela, as companhias podem abrir programas em duas modalidades: pública (qualquer usuário pode contribuir) e privada (a empresa escolhe profissionais na lista dos melhores hackers). “Nos dois serviços, ajudamos na escolha da definição do escopo e na recompensa. No privado, exclusivamente, auxiliamos na escolha do time de especialistas”, explica Caio Telles, CEO da BugHunt.
Os hackers cadastrados identificam bugs em sistemas, aplicativos, websites e dispositivos físicos, como totens e máquinas de cartão. O foco é identificar falhas que possam representar riscos às companhias, como vazamento de dados, que impactam na LGPD; invasão; ataques por ransomware; ou outra vulnerabilidade que traga prejuízo financeiro, operacional ou de imagem. A empresa que contratou o serviço, então, avalia os relatórios de vulnerabilidades enviados e, se aprovados, o pesquisador recebe sua recompensa.
Desde o início da operação da empresa, em março de 2020, mais de 2 mil vulnerabilidades já foram reportadas e, atualmente, 8 mil especialistas estão cadastrados na plataforma. “A maior recompensa única paga a um especialista até o momento foi de R$ 15 mil, e o recorde de tempo na identificação de uma falha foi de 8 minutos após a abertura do programa”, destaca o CEO. Até o fim de 2022, a BugHunt pretende dobrar a equipe interna e aumentar em 150% o número de empresas participantes.
Equivalente aos famosos canais de denúncias tradicionais, porém focado em cibersegurança, a BugHunt aposta agora no lançamento do primeiro Vulnerability Disclosure Program (VDP) do país, um programa de divulgação de vulnerabilidades. Nele, as empresas fornecem diretrizes sobre como gostariam de ser notificadas sobre possíveis vulnerabilidades de segurança encontradas por terceiros externos.
Hoje, os VDPs já são uma realidade no exterior, assim como o Bug Bounty. “Empresas que não possuem VDP acabam correndo o risco de ter suas vulnerabilidades divulgadas publicamente de forma descoordenada”, alerta Telles. “Nosso intuito é contribuir na elevação da maturidade em cibersegurança das companhias brasileiras e aproximar os hackers das empresas.”
Ao contrário dos programas de Bug Bounty, o VDP não promove recompensas em dinheiro aos especialistas, porém oferece reconhecimento público e pode até levar para oportunidades de emprego. A empresa também pode oferecer brindes em alguns casos, conhecidos como swags.
“Ou seja, agora, a empresa precisa investir muito pouco para corrigir falhas e evitar ataques, aprimorando sua segurança”, ressalta Telles. “Para os pesquisadores, a vantagem é ter um caminho para relatar vulnerabilidades, ser reconhecido pela comunidade e pelo setor, além de somar pontos na plataforma da BugHunt e melhorar sua reputação no ranking, possibilitando a participação em programas privados de Bug Bounty”, destaca o CEO.