Hacker da BugHunt fatura R$28 mil com recompensa por identificação de falha em sistema de empresa
Vulnerabilidade identificada poderia causar um impacto direto nas operações da empresa, e rendeu ao hacker a maior recompensa oferecida pela plataforma até o momento
A BugHunt, primeira plataforma brasileira de Bug Bounty, programa de recompensa por identificação de falhas, viabilizou o pagamento de R$ 28 mil a um hacker ético pela indicação de uma vulnerabilidade que colocava em risco a operação de uma empresa que faz parte do programa privado da startup.
A falha localizada pelo profissional se trata de uma permissão para a execução de comandos remotos por alguém fora do ambiente da empresa, o que pode provocar impacto direto na operação da companhia e até mesmo a implementação de um ransomware – sequestro de dados. “Nesse caso específico, eu identifiquei um software exposto utilizando métodos de fingerprinting. Na validação, foi possível confirmar que a falha permitiria que um atacante externo ganhasse controle sobre os servidores da empresa, podendo utilizá-lo para fins lucrativos e criminosos”, explica Guilhermo Gregorio, hacker responsável pela identificação da vulnerabilidade.
Se exploradas por agentes maliciosos, as falhas cibernéticas podem interromper totalmente as operações de empresas. “Como isso tem impacto direto na imagem da corporação com seus clientes e seu público, hackers éticos são convidados e recompensados por seu trabalho de localizar e prevenir vulnerabilidades”, explica Bruno Telles, COO da BugHunt.
Hackers éticos são aliados das empresas
Segundo pesquisas do Gartner, 88% dos líderes de negócios da área industrial veem o risco relacionado à segurança cibernética como um risco comercial, e não apenas tecnológico. Além disso, 51% dos entrevistados sofreram um incidente de risco de segurança cibernética nos últimos dois anos.
De acordo com Telles, os hackers éticos contribuem diretamente para a diminuição do déficit de profissionais da área, além de colaborarem com a construção de uma indústria nacional de segurança cibernética inovadora, retendo especialistas que apostam no reforço constante da cibersegurança no país, mesmo lidando com os desafios diários do mundo virtual.
“Todo esse movimento significa que as empresas estão, cada vez mais, investindo e confiando nos pesquisadores da comunidade, que é um dos grandes objetivos da BugHunt. Promover esse relacionamento de empresas com hackers, impedindo prejuízos e vazamento de dados”, afirma o COO.
Para Gregorio, a maior qualidade de um hacker é o seu pensamento, com análise crítica, capaz de idealizar cenários de riscos que profissionais convencionais da área não conseguem projetar. “O mercado demanda um grande número de profissionais qualificados, acredito que cada vez mais as empresas vão ter interesse em contar com hackers formando parte dos diferentes times e ajudando nos processos. Nesse cenário, é importante pensar fora da caixa”, comenta o pesquisador.
No Brasil, a BugHunt é pioneira em Bug Bounty. Por meio de programas públicos e privados, conecta mais de 17 mil especialistas que atendem às necessidades relacionadas à cibersegurança de empresas de diversos setores, como bancos, fintechs, portais de notícias, e-commerces, laboratórios de exames, corretoras de investimentos, integradoras, startups e marketplaces. As companhias pagam a recompensa de acordo com a gravidade e a qualidade do relatório fornecido.
“A aposta em alternativas inovadoras, como os programas de recompensas, é uma ótima oportunidade para utilizar a expertise dos hackers para desenvolver ações de cibersegurança, e diminuir o impacto da falta de mão de obra no setor de tecnologia. Além disso, o Bug Bounty reforça a proteção corporativa, garantindo a identificação de possíveis brechas antecipadamente, o que reduz os riscos”, completa Telles.
