Gigante do e-commerce, em parceria com a BugHunt, startup de Bug Bounty, passa a recompensar hackers por falhas encontradas em suas plataformas; cada “bug” vale até R$ 15 mil
O ano de 2020 registrou uma alta no número de ataques cibernéticos em todo o mundo. Segundo a Fortinet, só no Brasil, foram mais de 3 bilhões de tentativas de ciberataques. Diante desse cenário, quando se fala em hacker, a reação da maioria das equipes de TI é sentir receio. Há tempos, esse termo é associado apenas aos criminosos da internet, que aproveitam brechas de segurança. No entanto, tem sido comum a propagação do hacker do bem, profissional que contribui para o aumento de segurança e estabilidade do sistema de um negócio.
A OLX é um dos exemplos de pioneirismo nessa frente. Buscando manter a confiança de seus 33 milhões de clientes que mensalmente acessam a plataforma, a companhia global de comércio eletrônico e maior site de compra e venda do Brasil passou a integrar o time de empresas que contam com os serviços dos especialistas inscritos na BugHunt, primeira plataforma brasileira de Bug Bounty, programa de recompensa por identificação de falhas.
De acordo com a BugHunt, as empresas têm mudado sua percepção e estão mais engajadas em evoluir a maturidade de segurança em seus processos e sistemas. “Isso é fundamental para que os negócios não parem, pois o cibercrime também evolui e, para conseguir acompanhar esta evolução, é preciso investir em cibersegurança. Atualmente, a melhor opção são os programas de recompensa por bugs, pois promovem pioneirismo no mercado”, explica Caio Telles, CEO da empresa.
O Grupo OLX participa dos programas de Bug Bounty no exterior desde 2017 e identifica que as pesquisas contribuem para a melhoria da plataforma. “Em junho de 2020, decidimos trazer o programa para o Brasil por meio de BugHunt e nos aproximar mais dos pesquisadores brasileiros, já que a maioria dos relatórios estrangeiros recebidos vinha de pesquisadores daqui”, destaca Raúl Rentería, CTO da OLX Brasil.
Segundo o executivo, a vigência da LGPD foi um dos fatores que influenciaram na decisão. “A LGPD foi um dos motivadores para trazer o programa para o Brasil, já que o número de relatórios recebidos por pesquisadores estrangeiros contendo falso positivo para dados pessoais brasileiros é muito alto. Entendemos que os pesquisadores no Brasil têm uma visão mais assertiva quando se trata dos nossos dados. A jornada da LGPD começou em meados de 2018 e atravessou 2020 contemplando a classificação de dados, automação e adequação da política de uso”, destaca.
Com quase meio milhão de anúncios todos os dias e uma média de 2 milhões de vendas por mês – cerca de 50 por minuto –, a OLX é uma das empresas de tecnologia que mais cresce no Brasil. Para o CTO da OLX Brasil, a companhia, que já exercia o regime de trabalho remoto desde 2018 com diversas equipes, não foi impactada diretamente pela pandemia, mas mantém a segurança como ponto focal durante esse período. “Enxergamos os pesquisadores e especialistas em cibersegurança como parceiros para a melhora da nossa plataforma e acreditamos que esta relação traz benefícios para ambos os lados”, conclui.
A plataforma de Bug Bounty
A BugHunt acompanha de perto as falhas e vulnerabilidades de sistemas e soluções ao reunir especialistas em busca de reconhecimento e instituições comprometidas com a segurança da informação e privacidade de seus clientes. A partir da ferramenta, as empresas podem abrir programas em duas modalidades: pública e privada. Na primeira, o programa fica disponível para qualquer participante. Na segunda, a companhia pode escolher profissionais na lista dos dez melhores hackers. “Nos dois serviços, gerenciamos a definição de escopo e recompensa, a escolha de especialistas, a avaliação e triagem de relatórios e a verificação e correção de falhas nos serviços”, explica Telles.
Os especialistas cadastrados, então, identificam bugs em sistemas, aplicativos, websites e dispositivos físicos, como totens e máquinas de cartão. A empresa que contratou o serviço avalia os relatórios de vulnerabilidades enviados e, se aprovados, o pesquisador recebe sua recompensa. Um especialista pode ganhar até R $10.000,00 pela descoberta de cada vulnerabilidade. O foco é identificar falhas que possam representar riscos às empresas, como vazamento de dados, que impactam na LGPD; invasão; ataques por ransomware; ou outro risco que traga prejuízo financeiro, operacional ou de imagem. Em média, as companhias em geral levam 196 dias para perceber que foram atacadas e com a BugHunt, os especialistas identificam falhas e enviam relatórios às instituições em poucos minutos.
Nos últimos meses, a BugHunt também observou um aumento no interesse por programas de Bug Bounty, tanto por especialistas, quanto por empresas. “Instituições dos mais diversos segmentos, como bancos e fintechs, marketplaces, empresas de varejo, startups de tecnologia, portais de notícias, operadoras de telefonia, indústrias e até mesmo grupos de educação, têm nos procurado. Um dos nossos objetivos é democratizar o acesso à segurança e, por isso, está na nossa essência o atendimento de empresas de qualquer tamanho e segmento”, pontua Telles. Atualmente, a plataforma conta com mais de 3.000 especialistas inscritos e já identificou mais de 750 falhas em instituições brasileiras.
Para o executivo, conforme uma empresa acata às sugestões dos especialistas, o número de relatórios deve diminuir, e isso é um indicador de que a maturidade da companhia está aumentando. “Os programas de recompensa por vulnerabilidades permitem o olhar dos especialistas da plataforma de maneira constante e contínua, então isso auxilia e cria a necessidade das empresas ajustarem seus processos internos para a correção das vulnerabilidades relatadas, o que também acaba promovendo a maturidade em segurança”, ressalta. “Hoje, não é possível atingir uma maturidade em segurança sem o auxílio de especialistas e hackers éticos. Aquelas empresas que contam com a comunidade de pesquisadores para auxiliar na proteção de seus negócios são as que estão na frente da corrida pela segurança”, finaliza.
