Os programas de recompensa para caçadores de bugs (conhecidos como bug bounty) estão se tornando cada vez mais populares. O ZDNet contou a história de alguns pesquisadores que participaram desses programas e obtiveram sucesso, sendo essa uma forma diferente de abordar a cibersegurança. Esses pesquisadores de segurança abordam um alvo da mesma perspectiva de um invasor em potencial.
Essa indústria em crescimento permite aos pesquisadores de segurança invadir o software das organizações com a permissão delas. Depois, eles relatam os pontos fracos que descobrem em troca de uma recompensa financeira. A primeira vez que Katie Paxton-Fear encontrou um bug, ela pensou que era apenas sorte. Ela não tinha experiência em segurança cibernética, mas era programadora e desenvolvedora. Ela já encontrou mais 30 bugs de segurança desde então.
Esse tipo de programa permite que essas organizações resolvam os problemas antes que os invasores mal-intencionados encontrem os mesmos pontos fracos. Várias empresas executam seus próprios programas de recompensa para caçadores de vulnerabilidades, mas existem também empresas que organizam esses programas para outras companhias que não desejam executá-los internamente.
De acordo com o HackerOne, empresa que organiza recompensas por bugs para grandes empresas e agências governamentais, nove hackers já ganharam mais de US$ 1 milhão cada um em recompensas por detectar vulnerabilidades. Outros 13 atingiram US$ 500 mil em ganhos vitalícios e 146 hackers já ganharam US$ 100 mil cada.
Tommy DeVoss é um dos pesquisadores que ganhou algumas recompensas pelo trabalho, e ele conta ao ZDNet que era um hacker mal-intencionado que se tornou um caçador de recompensas de insetos, e nesses programas ele procura coisas que mudaram nos sistemas que ele tem como alvo, checando bugs antigos para ver se houve uma mudança que significa que a falha está de volta. Assim, DeVoss usa o conhecimento que antes era voltado para cometer crimes, mas agora para ser recompensado dentro da lei.
O HackerOne disse ao ZDNet que a recompensa média paga por uma vulnerabilidade crítica é de US$ 3.650, enquanto o valor médio pago por vulnerabilidade é de US$ 979. Isso tem estimulado muitos outros hackers a entrarem para esse mundo dos caçadores de bugs. Os benefícios para os pesquisadores estão na chance de vasculhar os sistemas de outras pessoas e ser pago por isso, sem descumprir nenhuma lei. Já para as empresas que usam programas de recompensa, o benefício é poder fazer com que muitos hackers experientes examinem seu código exatamente da mesma maneira que os invasores fariam, mas sem o risco.
O ZDNet conta a história de mais alguns caçadores de bugs e de empresas que aplicam esses program,as em sua reportagem, em inglês. Leia mais.
Comentários Recomendados
Não há comentários para mostrar.
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.