Publicidade
Publicidade
Publicidade

‘Hackers do bem’ são recompensados ao testar os sistemas de grandes empresas

Data da publicação

Categoria

“O Estado de S. Paulo” é o mais antigo dos jornais da cidade de São Paulo ainda em circulação . Em 4 de janeiro de 1875, ainda durante o Império, circulava pela primeira vez “A Província de S. Paulo” – seu nome original.

Destaques

Categoria

Data da publicação

Para se proteger de ataques cibernéticos, grandes empresas como Nubank, C6, TIM e OLX estão aderindo a uma tendência mundial e procurando “caçadores de recompensa” para invadir seus sistemas. O objetivo é encontrar falhas ou vulnerabilidades que possam ser a porta de entrada para criminosos roubarem ou “sequestrarem” dados, o que implica prejuízos milionários para as companhias.

Hackers do bem

Chamados de “bug bounty”, os programas de premiação envolvem plataformas com milhares de especialistas, conhecidos como “hackers do bem” ou “hackers éticos”. Esses profissionais têm a missão de vasculhar os sistemas das empresas e encontrar pontos fracos de forma legal. Se conseguirem furar a segurança da companhia, recebem recompensas de até R$ 15 mil no Brasil – no exterior, os valores são bem maiores, podendo superar US$ 100 mil, dependendo da descoberta.

 

Por aqui, esses programas ainda enfrentam uma certa desconfiança dos empresários, que temem ficar mais vulneráveis. Mas, com o crescimento da digitalização durante a pandemia e a consequente multiplicação de ataques cibernéticos, muitas empresas tiveram de buscar novas alternativas. O Nubank, por exemplo, acaba de lançar seu programa com recompensas que começam a partir de US$ 150.

 

“Segurança é um dos pilares da nossa operação desde o primeiro dia da empresa”, diz o gerente de Engenharia de Segurança de Informação do banco, Rodrigo Santos. Ele conta que, no ano passado, a instituição já havia iniciado um teste sem remuneração com Hacker One – uma das maiores plataformas de bug bounty do mundo. Nesse teste, foram reportadas 15 falhas consideradas válidas.

 

No programa atual, a empresa optou pela modalidade privada, em que há a escolha de uma quantidade de profissionais para buscar as vulnerabilidades do sistema. Na modalidade pública, qualquer especialista da comunidade de hackers pode fazer os testes. “Como essa cultura ainda não está totalmente difundida no Brasil, as empresas ficam com receio e entram mais leve nos programas”, diz o fundador da BugHunt, Bruno Telles, diretor operacional da plataforma brasileira.

 

Criada em março de 2020, a empresa tem cerca de 7 mil hackers inscritos e 25 programas ativos. Telles diz que os programas de recompensa estão apenas começando no Brasil, mas devem ganhar tração nos próximos anos com o avanço da digitalização. Além de empresas privadas, os governos também devem começar a aderir essa solução como forma de se protegerem contra cibercriminosos.

 

Aumento de ataques

 

De acordo com relatório da Fortinet, empresa de segurança digital, só no primeiro semestre deste ano, o Brasil sofreu cerca de 16,2 bilhões de tentativas de ataques virtuais. O País é o quinto com maior número de ransomware – ataque virtual em que o criminoso só libera o acesso ao sistema por meio de pagamento de um resgate -, conforme dados da consultoria Roland Berger. E os problemas não se restringem a apenas um setor. Tem sido generalizado.

 

“A melhor forma de se proteger é testar suas falhas. Normalmente tenho um time interno para fazer esse tipo de trabalho, mas agora também posso contar com hackers do mundo inteiro”, diz José Santana, responsável pela área de segurança da informação do C6 Bank. O programa de bug bounty do banco tem 842 pesquisadores (hackers) autorizados a ficar de olho em qualquer furo que o sistema do banco possa ter.

 

Desde que adotou a solução, em 2019, a instituição já pagou cerca de US$ 25 mil (R$ 136 mil) de recompensas, sendo uma média de US$ 696 (R$ 3,8 mil) por premiação. Santana explica que, se a recompensa for muito baixa, poucos hackers vão se interessar pela oportunidade, uma vez que os testes podem demorar.

 

“A remuneração maior, de fato, atrai mais gente, mas tem aqueles que querem ganhar pontos para subir no ranking dos que mais encontram falhas. Esses aceitam valores menores”, diz Telles. Os pagamentos seguem uma tabela de gravidade dos problema. Quanto mais crítico, mais alta é a recompensa.

 

Tecnologia

 

Nos Estados Unidos, esse é um mercado de milhões de dólares. Gigantes, como Google e Apple, têm programas que oferecem US$ 1 milhão para quem conseguir fazer um ataque nos seus sistemas de segurança. Em 2017, só o Google pagou US$ 3 milhões em programas de segurança.

 

“Acredito que os programas de bug bounty trazem, de fato, um perfil independente (para a análise dos sistemas). Só vejo vantagens”, diz o diretor de tecnologia da OLX Brasil, Raúl Rentería. Na avaliação dele, com essa solução, a empresa consegue ter acesso a profissionais que estão fora do dia a dia da companhia e que conseguem ver outras vertentes do problema.

 

Só neste ano, os hackers reportaram 32 bugs no sistema da OLX. Desses, 17 foram aprovados ou estão em revisão. As recompensas da empresa podem chegar a R$ 10 mil, dependendo do nível da falha. Ele conta que a empresa tem funcionários internos que também testam os programas de segurança do grupo. “Mas esse olhar de fora, que caça falha em tudo quanto é canto, é importante.”

 

Esse olhar externo fez Manoel Abreu Netto, de 37 anos, reportar mais de 300 relatórios com falhas e vulnerabilidade no sistema de várias empresas. Ele não gosta de falar os valores, mas diz ser vantajoso. Ele atua como “hacker do bem” há três anos.

 

Formado em Ciência da Computação, Netto divide seu tempo entre um emprego na administração pública e as plataformas de bug bounty. Já ganhou três desafios internacionais de vulnerabilidade em sistemas que lhe renderam três viagens para Argentina e Estados Unidos. As informações são do jornal O Estado de S. Paulo.


Encontre o que você precisa

Personalize da forma que achar melhor e tenha o seu acesso conforme a sua preferência:

Em pouco cliques, customize quais assuntos você quer que apareçam na sua home.

Salve conteúdos para ler quando quiser e não perca nenhuma atualização.

Tudo isso pelo Meu Feed, no Clube Acionista.

A transparência para as suas decisões de investimentos.

Encontre relatórios de instituições concorrentes, compare entre as sugestões e deixe de ter que se cadastrar em cada canto da internet para receber suas notificações preferidas.

Conheça o Clube Acionista, a plataforma que reúne diversos especialistas do mercado em um só lugar. A facilidade de não precisar sair procurando por boa informação em diferentes canais.

APROVEITE!

Autor

“O Estado de S. Paulo” é o mais antigo dos jornais da cidade de São Paulo ainda em circulação . Em 4 de janeiro de 1875, ainda durante o Império, circulava pela primeira vez “A Província de S. Paulo” – seu nome original.

Receba informações do mercado financeiro no seu celular gratuitamente

Compartilhe esse post nas suas redes!

Compartilhar no facebook
Compartilhar no twitter
Compartilhar no whatsapp
Compartilhar no linkedin
Compartilhar no email

Você pode se interessar por

Publicidade

Leia também

Publicidade

Advertência

Declaramos que o Portal Acionista.com.br não se responsabiliza pelas informações divulgadas neste site e qualquer outro canal, tanto referente às matérias de produção própria , quanto matérias ou análises produzidas por terceiros ou reproduzidas de links autorizados, publicados nas nossas páginas a partir de uma seleção criteriosa, porém sem garantir sua integralidade e exatidão. Matérias e  análises produzidas por terceiros são de inteira responsabilidade dos mesmos. As informações, opiniões, sugestões, estimativas ou projeções referem-se a data presente e estão sujeitas à mudanças conforme as condições do mercado, sem prévio aviso. Informamos, ainda, que o Acionista.com.br não faz qualquer recomendação de investimento e que, portanto, não se responsabiliza por perdas, danos, custos e lucros cessantes decorrentes de operações financeiras de qualquer tipo, enfatizando que as decisões sobre investimentos são pessoais.
Importante lembrar sempre: ganhos passados, não são garantia de ganhos futuros.

Publicidade

Telegram Acionista

Os principais destaques do mercado! A melhor cobertura.

Esse site usa cookies para personalizar o conteúdo, propagandas e acompanhar o tráfego de acordo com os nossos Termos de Uso e Política de Privacidade.