A startup BugHunt quer trazer os hackers para mais perto das empresas.
Para isso, a empresa formada pelos irmãos Caio Telles, 32, e Bruno Telles, 34, donos de consultoria em segurança digital e que também atuam como hackers éticos, criou serviço em que as empresas podem anunciar pagamentos para quem descobrir falhas em seus sistemas.
A identificação de vulnerabilidade gera recompensas diferentes para quem as encontrou dependendo da gravidade, que vai de baixa a crítica, com valores escolhidos pela empresa que pediu o teste. Uma base de dados com CPFs e cartões de créditos de clientes, por exemplo, pode render até R$ 10 mil para quem descobre a vulnerabilidade, diz Caio.
O modelo, apesar de incipiente no Brasil, é adotado internacionalmente pelas grandes empresas de https://sindeprestem.com.br/wp-content/uploads/2020/10/internet-cyber-network-3563638-1.jpg, incluindo Google, Facebook, Microsoft e Amazon.
Apesar de a parceria com hackers ser comum internacionalmente, um dos desafios da startup no Brasil, afirma Caio, é mudar a visão negativa que muitos têm dos hackers, associando sua atividade ao crime. “Muitas empresas, quando recebem um aviso sobre um problema feito por um hacker, fica com receio de ser vítima de uma chantagem, por não saber se ele é do bem”, diz.
Apesar dos prêmios, Caio diz que as motivações dos hackers vão além do dinheiro. Muitos que dedicam seu tempo a achar falhas nos sistemas querem se qualificar. A maioria deles trabalha em consultorias ou está na universidade e quer colocar o que estudam em prática.
As empresas clientes da BugHunt podem deixar para que seus desafios sejam públicos para todos os hackers ou apenas para os qualificados, que acumularam mais pontos na plataforma.
A startup não informa quantidade de hackers cadastrados, mas há desafios públicos propostos por empresas como a operadora Tim, que paga até R$ 2.500 por problema crítico identificado, e a fintech Warren, que oferece até R$ 1.500.
Claudio Creo, diretor de segurança da informação da Tim, diz que a parceria com os hackers éticos, com variados estilos e estratégias de trabalho, agiliza a identificação de possíveis falhas.
A empresa diz já ter corrigido problemas com indicações dos hackers. Também afirma que deve ampliar o número de ferramentas abertas para os testes deles.
André Gusmão, diretor de https://sindeprestem.com.br/wp-content/uploads/2020/10/internet-cyber-network-3563638-1.jpg da Warren, diz que os relatórios gerados pelos hackers são enviados diretamente para o a conta de Slack das pessoas da equipe que cuida de segurança da informação na empresa para que sejam avaliados rapidamente. A fintech já recebeu 150 indicações dos especialistas, sendo que 6 delas exigiram correções, conta. Segundo Gusmão, os comentários recebidos também ajudam a pensar formas de melhorar as funcionalidades oferecidas aos clientes.
Plataformas como a da BugHunt são importantes por deixarem claro as regras do que [é permitido pela empresa e sob quais condições, na avaliação do advogado Adriano Mendes, especialista em dados pessoais e sócios do escritório Assis e Mendes. Isso porque, uma invasão de sistema de empresa feita sem autorização é criminalizada pela lei Carolina Dieckmann, de 2012.
Para o especialista, iniciativas como essa devem ser impulsionada pela LGPD (Lei Geral de Proteção de Dados), que entrou em vigor em setembro e prevê punições para falhas no gerenciamento de dados pessoais de clientes por empresas. “É uma forma de descobrir problemas preventivamente em vez de ter de remediar depois.”
Rodolfo Fücher, presidente da Abes (Associação Brasileira das Empresas de Software), diz que a parceria com hackers oferece para empresas uma forma barata de testar seus sistemas e, por isso, tem potencial de crescimento no Brasil.
Por outro lado, ele ressalva que empresas com sua segurança digital pouco desenvolvida devem ter cautela no uso do serviço. Além de correr o risco de gastar muito com recompensas, podem ter sua reputação abalada caso a comunidade hacker identifique muitos problemas, afirma.
O especialista em segurança digital José Filippe Albano já conseguiu ganhar US$ 4 mil (R$ 21.600) ao encontrar uma falha de segurança que dava acesso ao banco de dados da empresa usando plataformas internacionais para encontrar desafios. Ele diz localizar alguma vulnerabilidade, com nível variável de gravidade, cerca de duas vezes ao mês. “O tempo que tenho livre é dedicado a isso.”
Albano conta que começou a caçar recompensas há dois anos, após descobrir que seu hobby, de examinar sistemas em busca de falhas, poderia dar dinheiro. Antes ele usava plataformas que simulam ambientes de empresas para competições entre os hackers.
O modelo adotado pela BugHunt é importado das startups americanas HackerOne e Bugcrowd.
Entre as clientes da Hacker One estãoStarbucks, Nintendo, Spotify e o Departamento de Defesa dos Estados Unidos, para quem começou a realizar desafios em 2016.
Em 2020, a empresa divulgou relatório imformando que 60 hackers, em parceria com militares, encontraram mais de 460 vulnerabilidades nos servidores da Força Área americana em quatro semanas de desafio. O grupo recebeu no total US$ 290 mil (R$ 1,5 milhão).
Pesquisa da empresa divulgada em março afirma que o número de hackers cadastrados no serviço avançou 63% e está acima de 1 milhão. Eles ganharam US$ 40 milhões (R$ 216 milhões) a partir da plataforma em 2020.
A principal motivação dos hackers, citada por 85% dos usuários da plataforma ouvidos para o estudo, é o aprendizado, mais mencionado do que as recompensas (76%). Entre os usuários do serviço, 82% exercem a atividade em tempo parcial e 55% têm menos de 25 anos.
A Bugcrowd, principal concorrente da HackerOne, recebeu um investimento de US$ 30 milhões (R$ 162 milhões) em abril do ano passado para acelerar sua expansão para a Europa. Entre as clientes da startups estão a empresa do mercado de pagamentos MasterCard e a montadora Stellantis.
FOLHA DE S. PAULO