Estima-se que ciberataques tenham causado US$ 6 trilhões em prejuízos em 2021. De acordo com a Cybersecurity Ventures, empresa de pesquisa especializada nesse mercado, esse valor deve chegar a US$ 10,5 trilhões em 2025. Por isso, para empresas, encontrar mecanismos de defesa pode fazer a diferença entre liderança de mercado e falência.
Um dos métodos comumente utilizados é o bug bounty, em que companhias oferecem uma recompensa em dinheiro para que profissionais encontrem falhas e vulnerabilidade em seus sistemas. Plataformas para “caçadores de recompensa” já existem em outros países e, agora, no Brasil. Fundada em março de 2020 pelos irmãos Caio Telles (CEO) e Bruno Telles (COO), ambos engenheiros da computação, a BugHunt é pioneira no segmento em território brasileiro.
De acordo com Caio Telles, CEO da BugHunt, os “hackers do bem” podem faturar até R$ 120 mil em menos de 12 meses, identificando problemas de segurança e reportando-os. Os profissionais detectam essas fragilidades em corporações de diversos segmentos, especialmente empresas de tecnologia – como e-commerces -, plataformas de criptomoedas, marketplaces, bancos, startups de saúde – diagnóstico e hospitais -, portais de notícias, indústria de bebidas e empresas de telefonia e logística.
Mercado
O setor de cibersegurança está em expansão no Brasil. A consultoria IDC Brasil projeta que em 2022 sejam investidos mais de R$ 5 bilhões em TIC em 2022. Ainda, estima-se que 76% das empresas de médio e grande porte no Brasil busquem serviços especializados para protegerem seus dados.
E o bug bounty é uma grande ferramenta para esse setor. A 1.ª Pesquisa Nacional BugHunt de Segurança da Informação, realizada pela startup em 2021, levantou que 29% das empresas brasileiras já investem em bug bounty, enquanto 34% pretendem fazer no futuro próximo. “No exterior, o Bug Bounty já é algo cultural, e acreditamos que, em breve, deverá ser assim no mercado nacional”, diz.
Por não ter uma previsibilidade de ganhos, poucos profissionais vivem hoje apenas de recompensas. Mas, para Caio, a atividade tende a crescer exponencialmente e, em breve, a maioria das empresas adotará programas de recompensas, tornando a atividade de “caçador de recompensas” cada vez mais comum.
“A versatilidade de atuação é um pré-requisito para o bughunter, fator que exige uma plena noção do processo de mudanças tecnológicas”, explica o CEO. Hoje, a startup tem mais de 10 mil especialistas cadastrados em todos os estados brasileiros, além de outros países. “O principal desafio para os profissionais é manter o conhecimento atualizado e conseguir identificar vulnerabilidades que outros ainda não identificaram. Para isso, é extremamente importante ficar atento a convites de programas, para encontrar as falhas antes dos outros”, completa.
Como funciona uma plataforma de “caçadores de recompensa”
A partir da plataforma da BugHunt, as empresas podem abrir programas em duas modalidades: pública e privada. Na primeira, o programa fica disponível para qualquer participante. Na segunda, a companhia pode escolher profissionais na lista dos melhores hackers. Nos dois serviços, a BugHunt ajuda na escolha da definição do escopo e na definição dos valores de recompensa. No privado, exclusivamente, auxilia na escolha do time de especialistas.
Os hackers cadastrados identificam bugs em sistemas, aplicativos, websites e dispositivos físicos, como totens e máquinas de cartão. O foco é identificar falhas que possam representar riscos às companhias, como vazamento de dados, que impactam na LGPD; invasão; ataques por ransomware; ou outra vulnerabilidade que traga prejuízo financeiro, operacional ou de imagem.
A empresa que contratou o serviço, então, avalia os relatórios de vulnerabilidades enviados e, se aprovados, o pesquisador recebe sua recompensa. “A maior recompensa única paga a um especialista até o momento foi de R$ 15 mil, e o recorde de tempo na identificação de uma falha foi de 8 minutos após a abertura do programa”, explica Caio.
Desde o início da operação da empresa, em março de 2020, mais de 2 mil vulnerabilidades já foram reportadas, com foco para Xss, IDOR, PII (Personally Identifiable Information – PII, em inglês), SQL Injection, Vazamento de Chaves (API KEYS) e Open Redirect.
Na BugHunt, quem tem interesse em se tornar um especialista pode se cadastrar na plataforma da empresa, onde terá acesso a programas de recompensas e às suas políticas para entender o que está incluso e o qual o escopo.
