Para se proteger de ataques cibern�ticos, grandes empresas como Nubank, C6, TIM e OLX est�o aderindo a uma tend�ncia mundial e procurando "ca�adores de recompensa" para invadir seus sistemas. O objetivo � encontrar falhas ou vulnerabilidades que possam ser a porta de entrada para criminosos roubarem ou "sequestrarem" dados, o que implica preju�zos milion�rios para as companhias.
Chamados de "bug bounty", os programas de premia��o envolvem plataformas com milhares de especialistas, conhecidos como "hackers do bem" ou "hackers �ticos". Esses profissionais t�m a miss�o de vasculhar os sistemas das empresas e encontrar pontos fracos de forma legal. Se conseguirem furar a seguran�a da companhia, recebem recompensas de at� R$ 15 mil no Brasil - no exterior, os valores s�o bem maiores, podendo superar US$ 100 mil, dependendo da descoberta.
Por aqui, esses programas ainda enfrentam uma certa desconfian�a dos empres�rios, que temem ficar mais vulner�veis. Mas, com o crescimento da digitaliza��o durante a pandemia e a consequente multiplica��o de ataques cibern�ticos, muitas empresas tiveram de buscar novas alternativas. O Nubank, por exemplo, acaba de lan�ar seu programa com recompensas que come�am a partir de US$ 150.
"Seguran�a � um dos pilares da nossa opera��o desde o primeiro dia da empresa", diz o gerente de Engenharia de Seguran�a de Informa��o do banco, Rodrigo Santos. Ele conta que, no ano passado, a institui��o j� havia iniciado um teste sem remunera��o com Hacker One - uma das maiores plataformas de bug bounty do mundo. Nesse teste, foram reportadas 15 falhas consideradas v�lidas.
No programa atual, a empresa optou pela modalidade privada, em que h� a escolha de uma quantidade de profissionais para buscar as vulnerabilidades do sistema. Na modalidade p�blica, qualquer especialista da comunidade de hackers pode fazer os testes. "Como essa cultura ainda n�o est� totalmente difundida no Brasil, as empresas ficam com receio e entram mais leve nos programas", diz o fundador da BugHunt, Bruno Telles, diretor operacional da plataforma brasileira.
Criada em mar�o de 2020, a empresa tem cerca de 7 mil hackers inscritos e 25 programas ativos. Telles diz que os programas de recompensa est�o apenas come�ando no Brasil, mas devem ganhar tra��o nos pr�ximos anos com o avan�o da digitaliza��o. Al�m de empresas privadas, os governos tamb�m devem come�ar a aderir essa solu��o como forma de se protegerem contra cibercriminosos.
Aumento de ataques
De acordo com relat�rio da Fortinet, empresa de seguran�a digital, s� no primeiro semestre deste ano, o Brasil sofreu cerca de 16,2 bilh�es de tentativas de ataques virtuais. O Pa�s � o quinto com maior n�mero de ransomware - ataque virtual em que o criminoso s� libera o acesso ao sistema por meio de pagamento de um resgate -, conforme dados da consultoria Roland Berger. E os problemas n�o se restringem a apenas um setor. Tem sido generalizado.
"A melhor forma de se proteger � testar suas falhas. Normalmente tenho um time interno para fazer esse tipo de trabalho, mas agora tamb�m posso contar com hackers do mundo inteiro", diz Jos� Santana, respons�vel pela �rea de seguran�a da informa��o do C6 Bank. O programa de bug bounty do banco tem 842 pesquisadores (hackers) autorizados a ficar de olho em qualquer furo que o sistema do banco possa ter.
Desde que adotou a solu��o, em 2019, a institui��o j� pagou cerca de US$ 25 mil (R$ 136 mil) de recompensas, sendo uma m�dia de US$ 696 (R$ 3,8 mil) por premia��o. Santana explica que, se a recompensa for muito baixa, poucos hackers v�o se interessar pela oportunidade, uma vez que os testes podem demorar.
"A remunera��o maior, de fato, atrai mais gente, mas tem aqueles que querem ganhar pontos para subir no ranking dos que mais encontram falhas. Esses aceitam valores menores", diz Telles. Os pagamentos seguem uma tabela de gravidade dos problema. Quanto mais cr�tico, mais alta � a recompensa.
Tecnologia
Nos Estados Unidos, esse � um mercado de milh�es de d�lares. Gigantes, como Google e Apple, t�m programas que oferecem US$ 1 milh�o para quem conseguir fazer um ataque nos seus sistemas de seguran�a. Em 2017, s� o Google pagou US$ 3 milh�es em programas de seguran�a.
"Acredito que os programas de bug bounty trazem, de fato, um perfil independente (para a an�lise dos sistemas). S� vejo vantagens", diz o diretor de tecnologia da OLX Brasil, Ra�l Renter�a. Na avalia��o dele, com essa solu��o, a empresa consegue ter acesso a profissionais que est�o fora do dia a dia da companhia e que conseguem ver outras vertentes do problema.
S� neste ano, os hackers reportaram 32 bugs no sistema da OLX. Desses, 17 foram aprovados ou est�o em revis�o. As recompensas da empresa podem chegar a R$ 10 mil, dependendo do n�vel da falha. Ele conta que a empresa tem funcion�rios internos que tamb�m testam os programas de seguran�a do grupo. "Mas esse olhar de fora, que ca�a falha em tudo quanto � canto, � importante."
Esse olhar externo fez Manoel Abreu Netto, de 37 anos, reportar mais de 300 relat�rios com falhas e vulnerabilidade no sistema de v�rias empresas. Ele n�o gosta de falar os valores, mas diz ser vantajoso. Ele atua como "hacker do bem" h� tr�s anos.
Formado em Ci�ncia da Computa��o, Netto divide seu tempo entre um emprego na administra��o p�blica e as plataformas de bug bounty. J� ganhou tr�s desafios internacionais de vulnerabilidade em sistemas que lhe renderam tr�s viagens para Argentina e Estados Unidos. As informa��es s�o do jornal O Estado de S. Paulo.
Publicidade
ECONOMIA
'Hackers do bem' s�o recompensados ao testar os sistemas de grandes empresas
Publicidade