O Nubank lançou um programa que paga recompensas a pesquisadores éticos de segurança que encontrarem eventuais vulnerabilidades em seu aplicativo. Por meio da parceria com a HackerOne, comunidade de hackers éticos, o programa de recompensas serve para alertar possíveis falhas (bug) ou vulnerabilidades por meio de análises de segurança realizadas pelos pesquisadores. Em troca estes profissionais recebem uma recompensa financeira, ou Bug Bounty (em inglês), via plataforma da HackerOne. A iniciativa está disponível em modelo beta desde o primeiro semestre deste ano, com a colaboração de alguns dos principais pesquisadores de segurança da comunidade de tecnologia.
A ação faz parte de série de atividades que o Nubank promove para proteger a segurança da informação e evitar possíveis vulnerabilidades em seu sistema. Além do programa Bug Bounty, a empresa também investe em outras frentes de proteção como a Zero Trust, baseado em um rigoroso processo de verificação de identidade, no qual a estrutura estabelece que somente usuários e dispositivos autenticados e autorizados podem acessar determinadas aplicações ou dados; A implementação e engajamento de controles de segurança no ciclo de vida de desenvolvimento de software (SDLC – Systems Development Life Cycle), que determina como desenvolver, manter e substituir um software específico; o modelo mTLS, que permite a autenticação mútua em um protocolo de validação e autenticação; além de outras soluções de segurança.
“O programa de recompensa faz parte do exercício contínuo feito pela área de segurança do Nubank para garantir a integridade das informações dos nossos clientes e oferecer, ao mesmo tempo, a melhor experiência. Além disso, é mais uma iniciativa que nos aproxima da comunidade de pesquisa”, comenta Dave Currie, Chief Information Security Officer no Nubank.
“A iniciativa reforça nosso objetivo comum de tornar a Internet um lugar mais seguro. O teste contínuo de ativos digitais com o programa de recompensa de bug é a melhor maneira de garantir que as vulnerabilidades sejam identificadas e corrigidas antes que possam ser exploradas por cibercriminosos. A segurança baseada em hackers está sendo cada vez mais adotado por organizações de serviços financeiros com visão de futuro em todo o mundo e o Nubank se junta a eles na demonstração de seu compromisso com a segurança, pedindo ajuda à comunidade de hackers éticos para reforçar suas defesas”, diz Ayana Ward, Gerente Sênior de Programação da HackerOne.
Como funciona
A HackerOne é uma plataforma internacional que une pesquisadores de segurança a empresas comprometidas em melhorar a segurança de seus sistemas. Por meio dela, esses pesquisadores conseguem reportar eventuais vulnerabilidades e receber uma recompensa em dinheiro. Empresas como Twitter, Uber e Spotify também utilizam a Hackerone.
Para oferecer uma tranquilidade ainda maior aos seus mais de 41 milhões de clientes, o Nubank convidou pesquisadores brasileiros bem avaliados, conforme pontuação na plataforma, para informarem os detalhes técnicos de eventuais bugs encontrados no app da fintech, da seguinte forma:
– No fluxo, a HackerOne é responsável por triar os relatos, descartando os que são imprecisos ou inconsistentes, e também por realizar os testes de vulnerabilidade relacionados à falha encontrada.
– Cabe ao Nubank validar a notificação recebida da HackerOne, corrigir o bug identificado e aprovar o pagamento da recompensa via plataforma para o pesquisador que encontrou a falha.
O programa é liderado pela área de Segurança da Informação do Nubank, responsável por garantir a proteção dos dados dos clientes.