O ano de 2020 registrou uma alta no número de ataques cibernéticos em todo o mundo. Segundo a Fortinet, só no Brasil, foram mais de 3 bilhões de tentativas de ciberataques. Diante desse cenário, quando se fala em hacker, a reação da maioria das equipes de TI é sentir receio. Há tempos, esse termo é associado apenas aos criminosos da internet, que aproveitam brechas de segurança. No entanto, tem sido comum a propagação do hacker do bem, profissional que contribui para o aumento de segurança e estabilidade do sistema de um negócio.
De acordo com a BugHunt, primeira plataforma brasileira de Bug Bounty, programa de recompensa por identificação de falhas, as empresas têm mudado sua percepção e estão mais engajadas em evoluir a maturidade de segurança em seus processos e sistemas. "Isso é fundamental para que os negócios não parem, pois o cibercrime também evolui e, para conseguir acompanhar esta evolução, é preciso investir em cibersegurança. Atualmente, a melhor opção são os programas de recompensa por bugs, pois promovem pioneirismo no mercado", explica Caio Telles, CEO da empresa.
A BitcoinTrade, corretora brasileira especializada no mercado de criptomoedas, é um dos exemplos de pioneirismo nessa frente. Buscando manter a confiança de seus mais de 340 mil clientes cadastrados, a mais segura plataforma de moedas digitais da América Latina passou a integrar o time de empresas que contam com os serviços dos especialistas inscritos na BugHunt.
Com o objetivo de investir em cibersegurança e evitar prejuízos financeiros diretos, como clientes terem saldo em reais e criptomoedas roubados, a empresa participa da plataforma há seis meses. "Acreditamos que o melhor teste de segurança da plataforma são tentativas de invasão reais por agentes externos", destaca Daniel Coquieri, fundador da empresa.
Fundada em outubro de 2017, no Rio de Janeiro, a BitcoinTrade já está entre os líderes do mercado nacional, em volume negociado mensalmente. Hoje, atende a milhares de clientes e empresas, entregando uma solução simples, segura e ágil para compra e venda de moedas digitais.
A plataforma de Bug Bounty
A BugHunt acompanha de perto as falhas e vulnerabilidades de sistemas e soluções ao reunir especialistas em busca de reconhecimento e instituições comprometidas com a segurança da informação e privacidade de seus clientes. A partir da ferramenta, as empresas podem abrir programas em duas modalidades: pública e privada. Na primeira, o programa fica disponível para qualquer participante. Na segunda, a companhia pode escolher profissionais na lista dos dez melhores hackers. "Nos dois serviços, gerenciamos a definição de escopo e recompensa, a escolha de especialistas, a avaliação e triagem de relatórios e a verificação e correção de falhas nos serviços", explica o CEO.
Os especialistas cadastrados, então, identificam bugs em sistemas, aplicativos, websites e dispositivos físicos, como totens e máquinas de cartão. A empresa que contratou o serviço avalia os relatórios de vulnerabilidades enviados e, se aprovados, o pesquisador recebe sua recompensa. Um especialista pode ganhar até R$ 10 mil pela descoberta de cada vulnerabilidade. O foco é identificar falhas que possam representar riscos às empresas, como vazamento de dados, que impacta na LGPD; invasão; ataques por ransomware; ou outro risco que traga prejuízo financeiro, operacional ou de imagem. Em média, as companhias levam 196 dias para perceber que foram atacadas. Com a BugHunt, os especialistas identificam falhas e enviam relatórios às instituições em poucos minutos.
Nos últimos meses, as falhas mais encontradas pelos especialistas na plataforma foram vulnerabilidades e fragilidades ligadas a desenvolvimentos web, como a falta de tratamento de parâmetros, que pode levar a ataques de injeção de comandos, sql, xss, ldap, entre outros. Nesse período, a BugHunt também observou um aumento no interesse por programas de Bug Bounty, tanto por especialistas, quanto por empresas. "Instituições dos mais diversos segmentos, como bancos e fintechs, marketplaces, empresas de varejo, startups de tecnologia, portais de notícias, operadoras de telefonia, indústrias e até mesmo grupos de educação, têm nos procurado. Um dos nossos objetivos é democratizar o acesso à segurança e, por isso, está na nossa essência o atendimento de empresas de qualquer tamanho e segmento", explica Telles. Atualmente, a plataforma conta com mais de 3.000 especialistas inscritos e já identificou mais de 750 falhas em instituições brasileiras.
Para o executivo, conforme uma empresa acata às sugestões dos especialistas, o número de relatórios deve diminuir, e isso é um indicador de que a maturidade da companhia está aumentando. "Os programas de recompensa por vulnerabilidades permitem o olhar dos especialistas da plataforma de maneira constante e contínua, então isso auxilia e cria a necessidade das empresas ajustarem seus processos internos para a correção das vulnerabilidades relatadas, o que também acaba promovendo a maturidade em segurança", ressalta. "Hoje, não é possível atingir uma maturidade em segurança sem o auxílio de especialistas e hackers éticos. Aquelas empresas que contam com a comunidade de pesquisadores para auxiliar na proteção de seus negócios são as que estão na frente da corrida pela segurança", conclui.
