Plataforma premia hacker do bem que encontra falha em sistemas de empresas
Identificação de vulnerabilidade gera recompensas que podem chegar a R$ 10 mil; incipiente no Brasil, modelo é adotado por big techs
são paulo A startup BugHunt quer trazer os hackers para mais perto das empresas.
Para isso, a empresa formada pelos irmãos Caio Telles, 32, e Bruno Telles, 34, donos de consultoria em segurança digital e que também atuam como hackers éticos, criou serviço em que as empresas podem anunciar pagamentos para quem descobrir falhas em seus sistemas.
A identificação de vulnerabilidade gera recompensas diferentes para quem as encontrou, dependendo da gravidade, que vai de baixa a crítica, com valores escolhidos pela empresa que pediu o teste.
Uma base de dados com CPFs e cartões de clientes, por exemplo, pode render até R$ 10 mil para quem descobre a vulnerabilidade, diz Caio.
O modelo, apesar de incipiente no Brasil, é adotado internacionalmente pelas grandes empresas de tecnologia, incluindo Google, Facebook, Microsoft e Amazon.
Apesar de a parceria com hackers ser comum internacionalmente, um dos desafios da startup no Brasil, diz Caio, é mudar a visão negativa que muitos têm dos hackers, associando sua atividade ao crime. “Muitas empresas, quando recebem um aviso sobre um problema feito por um hacker, ficam com receio de ser vítima de uma chantagem, por não saber se ele é do bem.”
Apesar dos prêmios, Caio afirma que as motivações dos hackers vão além do dinheiro. Muitos que se dedicam a achar falhas nos sistemas querem se qualificar. A maioria trabalha em consultorias ou está na universidade e quer pôr o que estuda em prática.
Os clientes da BugHunt podem deixar que seus desafios sejam públicos para todos os hackers ou apenas para os qualificados, que acumularam mais pontos na plataforma.
A startup não informa a quantidade de hackers cadastrados, mas há desafios públicos propostos por empresas como a TIM, que paga até R$ 2.500 por problema crítico identificado, e a fintech Warren, que oferece até R$ 1.500.
Claudio Creo, diretor de segurança da informação da TIM, diz que a parceria com os hackers éticos, com variados estilos e estratégias de trabalho, agiliza a identificação de possíveis falhas.
A empresa diz já ter corrigido problemas com indicações dos hackers. Também afirma que deve ampliar o número de ferramentas abertas para os testes deles.
André Gusmão, diretor de tecnologia da Warren, afirma que os relatórios gerados pelos hackers são enviados diretamente para a conta de Slack das pessoas da equipe que cuida de segurança da informação na empresa para que sejam avaliados rapidamente.
A fintech já recebeu 150 indicações dos especialistas, sendo que 6 exigiram correções, conta. Segundo Gusmão, os comentários recebidos também ajudam a pensar formas de melhorar as funcionalidades oferecidas aos clientes.
Plataformas como a da BugHunt são importantes por deixarem claro as regras do que é permitido pela empresa e sob quais condições, na avaliação do advogado Adriano Mendes, especialista em dados pessoais e sócios do escritório Assis e Mendes. Isso porque uma invasão de sistema de empresa feita sem autorização é criminalizada pela lei
Carolina Dieckmann, de 2012.
Para o especialista, iniciativas como essa devem ser impulsionadas pela LGPD (Lei Geral de Proteção de Dados), que entrou em vigor em setembro e prevê punições para falhas no gerenciamento de dados pessoais de clientes por empresas. “É uma forma de descobrir problemas preventivamente em vez de ter de remediar depois.”
Rodolfo Fücher, presidente da Abes (Associação Brasileira das Empresas de Software), diz que a parceria com hackers oferece para empresas uma forma barata de testar seus sistemas e, por isso, tem potencial de crescimento.
Por outro lado, ele ressalva que empresas com sua segurança digital pouco desenvolvida devem ter cautela no uso do serviço. Além de correr o risco de gastar muito com recompensas, podem ter sua reputação abalada caso a comunidade hacker identifique muitos problemas, afirma.
O especialista em segurança digital José Filippe Albano já conseguiu ganhar US$ 4.000 (R$ 21.600) ao encontrar uma falha de segurança que dava acesso ao banco de dados da empresa usando plataformas internacionais para encontrar desafios. Ele diz localizar alguma vulnerabilidade, com nível variável de gravidade, cerca de duas vezes ao mês. “O tempo que tenho livre é dedicado a isso.”
Albano conta que começou a caçar recompensas há dois anos, após descobrir que seu hobby, de examinar sistemas em busca de falhas, poderia dar dinheiro. Antes ele usava plataformas que simulam ambientes de empresas para competições entre os hackers.
O modelo adotado pela BugHunt é importado das americanas HackerOne e Bugcrowd.
Entre as clientes da HackerOne estão Starbucks, Nintendo, Spotify e o Departamento de Defesa dos EUA.
Em 2020, a empresa divulgou relatório informando que 60 hackers, em parceria com militares, encontraram mais de 460 vulnerabilidades nos servidores da Força Área americana em quatro semanas de desafio. O grupo recebeu, no total, US$ 290 mil.
“Muitas empresas, quando recebem um aviso sobre um problema feito por um hacker, ficam com receio de ser vítima de uma chantagem, por não saber se ele é do bem Caio Telles BugHunt