Há quem passe a pente fino defesas de empresas em busca de falhas. Programas de bug bounty atraem cada vez mais pessoas.
Se há quem ganhe dinheiro com ataques informáticos, também há quem retire proveitos a tornar as empresas mais seguras, com notificações sempre que encontram algum problema. O fenómeno chama-se bug bounty e tem crescido em popularidade – tanto do lado de quem recebe recompensas como de quem está disposto a abrir os cordões à bolsa. Os valores atribuídos aos hackers variam consoante a gravidade da vulnerabilidade encontrada, que tanto pode ser uma palavra-passe fraca associada a documentos sensíveis, como um erro num software.
Têm surgido mais plataformas com programas de recompensas, que ligam ‘caçadores’ de todo o mundo a empresas que querem mais olhos atentos à segurança dos seus serviços. Plataformas como a BugCrowd ou a Intigriti ganharam seguidores, mas é a HackerOne quem vence neste concurso da popularidade: conta com mais de 300 mil hackers registados. No espaço de um ano, distribuiu 17 milhões de euros em recompensas, na grande maioria oferecidas por empresas dos EUA e Canadá.
Leia também | Centro de Cibersegurança lança portal para as empresas até outubro
A BugCrowd, por seu lado, refere que “a recompensa média por vulnerabilidade cresceu 83% neste ano”, situando-se em pagamentos médios de 2450 euros. Nos números da HackerOne, um português que denuncie bugs a empresas poderá mesmo ganhar quase três vezes mais que o salário médio anual de um engenheiro (22 mil euros anuais, dados PayScale).
Em Portugal está a nascer uma plataforma de recompensas, a Bug Bounty Portugal. A equipa responsável explica que “há mercado em Portugal para uma plataforma comunitária de bug bounty”, estando neste momento à “procura de pessoas dedicadas” que queiram ajudar no desenvolvimento da plataforma.
Leia também | Portugal quer regras mais amigáveis para hackers e caçadores de bugs
As vulnerabilidades detetadas em Portugal não precisam necessariamente de ser comunicadas ao Centro Nacional de Cibersegurança, diz Lino Santos, coordenador do CNCS. “É comum que a comunicação ocorra unicamente entre dois atores [quem investiga e a empresa visada] e que o processo de gestão da vulnerabilidade inicie e termine apenas entre eles.”
Ainda assim, reconhece que há notificações de vulnerabilidades comunicadas ao centro. “O CNCS recebe uma média de quatro comunicações mensais, de investigadores que trabalham numa lógica de ajuda ou proteção contra explorações de agentes maliciosos.”
Equipa de hackers veteranos usa manobras ofensivas para salvar segurança das empresas