‘Hackers do bem’ são recompensados ao testar os sistemas de grandes empresas
De acordo com relatório da Fortinet, empresa de segurança digital, só no primeiro semestre deste ano, o Brasil sofreu cerca de 16,2 bilhões de tentativas de ataques virtuais
Para se proteger de ataques cibernéticos, grandes empresas como Nubank, C6, TIM e OLX estão aderindo a uma tendência mundial e procurando “caçadores de recompensa” para invadir seus sistemas. O objetivo é encontrar falhas ou vulnerabilidades que possam ser a porta de entrada para criminosos roubarem ou “sequestrarem” dados, o que implica prejuízos milionários para as companhias.
Chamados de “bug bounty”, os programas de premiação envolvem plataformas com milhares de especialistas, conhecidos como “hackers do bem” ou “hackers éticos”. Esses profissionais têm a missão de vasculhar os sistemas das empresas e encontrar pontos fracos de forma legal. Se conseguirem furar a segurança da companhia, recebem recompensas de até R$ 15 mil no Brasil – no exterior, os valores são bem maiores, podendo superar US$ 100 mil, dependendo da descoberta.
Por aqui, esses programas ainda enfrentam uma certa desconfiança dos empresários, que temem ficar mais vulneráveis. Mas, com o crescimento da digitalização durante a pandemia e a consequente multiplicação de ataques cibernéticos, muitas empresas tiveram de buscar novas alternativas. O Nubank, por exemplo, acaba de lançar seu programa com recompensas que começam a partir de US$ 150.
“Segurança é um dos pilares da nossa operação desde o primeiro dia da empresa”, diz o gerente de Engenharia de Segurança de Informação do banco, Rodrigo Santos. Ele conta que, no ano passado, a instituição já havia iniciado um teste sem remuneração com Hacker One – uma das maiores plataformas de bug bounty do mundo. Nesse teste, foram reportadas 15 falhas consideradas válidas.
No programa atual, a empresa optou pela modalidade privada, em que há a escolha de uma quantidade de profissionais para buscar as vulnerabilidades do sistema. Na modalidade pública, qualquer especialista da comunidade de hackers pode fazer os testes. “Como essa cultura ainda não está totalmente difundida no Brasil, as empresas ficam com receio e entram mais leve nos programas”, diz o fundador da BugHunt, Bruno Telles, diretor operacional da plataforma brasileira.
Criada em março de 2020, a empresa tem cerca de 7 mil hackers inscritos e 25 programas ativos. Telles diz que os programas de recompensa estão apenas começando no Brasil, mas devem ganhar tração nos próximos anos com o avanço da digitalização. Além de empresas privadas, os governos também devem começar a aderir essa solução como forma de se protegerem contra cibercriminosos.
Aumento de ataques
De acordo com relatório da Fortinet, empresa de segurança digital, só no primeiro semestre deste ano, o Brasil sofreu cerca de 16,2 bilhões de tentativas de ataques virtuais. O País é o quinto com maior número de ransomware – ataque virtual em que o criminoso só libera o acesso ao sistema por meio de pagamento de um resgate -, conforme dados da consultoria Roland Berger. E os problemas não se restringem a apenas um setor. Tem sido generalizado.
“A melhor forma de se proteger é testar suas falhas. Normalmente tenho um time interno para fazer esse tipo de trabalho, mas agora também posso contar com hackers do mundo inteiro”, diz José Santana, responsável pela área de segurança da informação do C6 Bank. O programa de bug bounty do banco tem 842 pesquisadores (hackers) autorizados a ficar de olho em qualquer furo que o sistema do banco possa ter.
Desde que adotou a solução, em 2019, a instituição já pagou cerca de US$ 25 mil (R$ 136 mil) de recompensas, sendo uma média de US$ 696 (R$ 3,8 mil) por premiação. Santana explica que, se a recompensa for muito baixa, poucos hackers vão se interessar pela oportunidade, uma vez que os testes podem demorar.
“A remuneração maior, de fato, atrai mais gente, mas tem aqueles que querem ganhar pontos para subir no ranking dos que mais encontram falhas. Esses aceitam valores menores”, diz Telles. Os pagamentos seguem uma tabela de gravidade dos problema. Quanto mais crítico, mais alta é a recompensa.
Tecnologia
Nos Estados Unidos, esse é um mercado de milhões de dólares. Gigantes, como Google e Apple, têm programas que oferecem US$ 1 milhão para quem conseguir fazer um ataque nos seus sistemas de segurança. Em 2017, só o Google pagou US$ 3 milhões em programas de segurança.
“Acredito que os programas de bug bounty trazem, de fato, um perfil independente (para a análise dos sistemas). Só vejo vantagens”, diz o diretor de tecnologia da OLX Brasil, Raúl Rentería. Na avaliação dele, com essa solução, a empresa consegue ter acesso a profissionais que estão fora do dia a dia da companhia e que conseguem ver outras vertentes do problema.
Só neste ano, os hackers reportaram 32 bugs no sistema da OLX. Desses, 17 foram aprovados ou estão em revisão. As recompensas da empresa podem chegar a R$ 10 mil, dependendo do nível da falha. Ele conta que a empresa tem funcionários internos que também testam os programas de segurança do grupo. “Mas esse olhar de fora, que caça falha em tudo quanto é canto, é importante.”
Esse olhar externo fez Manoel Abreu Netto, de 37 anos, reportar mais de 300 relatórios com falhas e vulnerabilidade no sistema de várias empresas. Ele não gosta de falar os valores, mas diz ser vantajoso. Ele atua como “hacker do bem” há três anos.
Formado em Ciência da Computação, Netto divide seu tempo entre um emprego na administração pública e as plataformas de bug bounty. Já ganhou três desafios internacionais de vulnerabilidade em sistemas que lhe renderam três viagens para Argentina e Estados Unidos.
Perfil de sucesso é de autodidata que começou cedo
A primeira experiência de Gregório Gomes como hacker foi na adolescência, aos 12 anos. Para conseguir ficar mais tempo na frente do computador, ele tinha de burlar as regras dos pais, descobrir as senhas e mudar algumas configurações. Foi nessa época que ele percebeu a facilidade que tinha na área, pois aprendeu quase tudo sozinho. “Sempre fiquei no computador e consumia muita informação externa”, diz Gomes.
Aos 16 anos, ele já estava em algumas das mais importantes plataformas de bug bounty do mundo tentando invadir, legalmente, os sistemas de grandes empresas.
Só em uma plataforma estrangeira, atendeu a mais de 500 chamados de companhias e detectou alguns problemas importantes nos sistemas, com recompensas de até US$ 5 mil.
Falha Grave
Numa delas, descobriu uma falha considerada crítica, em que o sistema da empresa acabava clonando os cartões de crédito das pessoas, numa espécie de chupa-cabra. Em geral, diz ele, as brechas são “legados de sistemas”. “Todo site tem uma construção padrão de um desenvolvedor. Se você não adequar e mudar as configurações, fica fácil explorar o sistema.”
Com a experiência adquirida como “hacker do bem”, ele prestou serviço para empresas como Easy Taxi e Uber até criar sua própria startup.
No início de 2017, ele abriu a Refinaria de Dados, empresa especializada na coleta e análise de informações digitais.
Com acesso e conhecimento, ele conseguia circular pela chamada dark web e obter informações desse submundo para o ambiente de negócios.
Em abril de 2021, a empresa foi vendida para o Modal, e Gomes se tornou gerente de Engenharia de Dados da instituição.
Hobby
Mas o caçador de recompensas não abandonou as origens. Aos 27 anos, continua inscrito em plataformas e ainda tenta invadir sistemas de outras empresas. “Hoje faço por hobby. No passado era a forma de ganhar dinheiro. Ou se faz para o bem ou para o mal.”
O adolescente Andres Alonso Bie Peres, de 16 anos, é uma fera no bug bounty. Aos 14, ganhou US$ 25 mil do Facebook por descobrir uma falha no Instagram.
A exemplo de Gomes, Andres também aprendeu tudo praticamente sozinho. Aos 10 anos fez um curso de design gráfico. A curiosidade o levou a ir mais fundo na internet. Descobriu que poderia ganhar dinheiro invadindo o sistema de empresas e resolveu estudar o assunto.
Com o dinheiro que ganhou do Facebook, comprou mais equipamentos e usou uma parte para criar uma empresa em que ensina a atividade.
Lançada em agosto, a empresa já tem 500 alunos, que pagam R$ 397 pela assinatura anual. A meta atual é ter 2 mil alunos em um ano. Enquanto isso, continua caçado recompensas.