fbpx

quinta, 02 de dezembro de 2021

Nubank, C6 e OLX contratam ‘hackers do bem’ para evitar roubo de dados

Esses profissionais têm a missão de vasculhar os sistemas das empresas para encontrar pontos fracos de forma legal, evitando o roubo de dados pessoais e prejuízos.

25 de novembro de 2021

Compartilhe

Grandes empresas têm recompensado os profissionais que testam seus sistemas (Foto: Reprodução)

Para se proteger de ataques cibernéticos, grandes empresas como Nubank, C6, TIM e OLX estão aderindo a uma tendência mundial e procurando “caçadores de recompensa” para invadir seus sistemas. O objetivo é encontrar falhas ou vulnerabilidades que possam ser a porta de entrada para criminosos roubarem ou “sequestrarem” dados, o que implica prejuízos milionários para as companhias.

Chamados de “bug bounty”, os programas de premiação envolvem plataformas com milhares de especialistas, conhecidos como “hackers do bem” ou “hackers éticos”. Esses profissionais têm a missão de vasculhar os sistemas das empresas e encontrar pontos fracos de forma legal. Se conseguirem furar a segurança da companhia, recebem recompensas de até R$ 15 mil no Brasil – no exterior, os valores são bem maiores, podendo superar US$ 100 mil, dependendo da descoberta.

Por aqui, esses programas ainda enfrentam uma certa desconfiança dos empresários, que temem ficar mais vulneráveis. Mas, com o crescimento da digitalização durante a pandemia e a consequente multiplicação de ataques cibernéticos, muitas empresas tiveram de buscar novas alternativas. O Nubank, por exemplo, acaba de lançar seu programa com recompensas que começam a partir de US$ 150.

“Segurança é um dos pilares da nossa operação desde o primeiro dia da empresa”, diz o gerente de Engenharia de Segurança de Informação do banco, Rodrigo Santos. Ele conta que, no ano passado, a instituição já havia iniciado um teste sem remuneração com Hacker One – uma das maiores plataformas de bug bounty do mundo. Nesse teste, foram reportadas 15 falhas consideradas válidas.

No programa atual, a empresa optou pela modalidade privada, em que há a escolha de uma quantidade de profissionais para buscar as vulnerabilidades do sistema. Na modalidade pública, qualquer especialista da comunidade de hackers pode fazer os testes. “Como essa cultura ainda não está totalmente difundida no Brasil, as empresas ficam com receio e entram mais leve nos programas”, diz o fundador da BugHunt, Bruno Telles, diretor operacional da plataforma brasileira.

Criada em março de 2020, a empresa tem cerca de 7 mil hackers inscritos e 25 programas ativos. Telles diz que os programas de recompensa estão apenas começando no Brasil, mas devem ganhar tração nos próximos anos com o avanço da digitalização. Além de empresas privadas, os governos também devem começar a aderir essa solução como forma de se protegerem contra cibercriminosos

Aumento de ataques

De acordo com relatório da Fortinet, empresa de segurança digital, só no primeiro semestre deste ano, o Brasil sofreu cerca de 16,2 bilhões de tentativas de ataques virtuais. O País é o quinto com maior número de ransomware – ataque virtual em que o criminoso só libera o acesso ao sistema por meio de pagamento de um resgate -, conforme dados da consultoria Roland Berger. E os problemas não se restringem a apenas um setor. Tem sido generalizado.

“A melhor forma de se proteger é testar suas falhas. Normalmente tenho um time interno para fazer esse tipo de trabalho, mas agora também posso contar com hackers do mundo inteiro”, diz José Santana, responsável pela área de segurança da informação do C6 Bank. O programa de bug bounty do banco tem 842 pesquisadores (hackers) autorizados a ficar de olho em qualquer furo que o sistema do banco possa ter.

Desde que adotou a solução, em 2019, a instituição já pagou cerca de US$ 25 mil (R$ 136 mil) de recompensas, sendo uma média de US$ 696 (R$ 3,8 mil) por premiação. Santana explica que, se a recompensa for muito baixa, poucos hackers vão se interessar pela oportunidade, uma vez que os testes podem demorar.

“A remuneração maior, de fato, atrai mais gente, mas tem aqueles que querem ganhar pontos para subir no ranking dos que mais encontram falhas. Esses aceitam valores menores”, diz Telles. Os pagamentos seguem uma tabela de gravidade dos problema. Quanto mais crítico, mais alta é a recompensa.

Tecnologia

Nos Estados Unidos, esse é um mercado de milhões de dólares. Gigantes, como Google e Apple, têm programas que oferecem US$ 1 milhão para quem conseguir fazer um ataque nos seus sistemas de segurança. Em 2017, só o Google pagou US$ 3 milhões em programas de segurança.

“Acredito que os programas de bug bounty trazem, de fato, um perfil independente (para a análise dos sistemas). Só vejo vantagens”, diz o diretor de tecnologia da OLX Brasil, Raúl Rentería. Na avaliação dele, com essa solução, a empresa consegue ter acesso a profissionais que estão fora do dia a dia da companhia e que conseguem ver outras vertentes do problema.

Só neste ano, os hackers reportaram 32 bugs no sistema da OLX. Desses, 17 foram aprovados ou estão em revisão. As recompensas da empresa podem chegar a R$ 10 mil, dependendo do nível da falha. Ele conta que a empresa tem funcionários internos que também testam os programas de segurança do grupo. “Mas esse olhar de fora, que caça falha em tudo quanto é canto, é importante.”

Esse olhar externo fez Manoel Abreu Netto, de 37 anos, reportar mais de 300 relatórios com falhas e vulnerabilidade no sistema de várias empresas. Ele não gosta de falar os valores, mas diz ser vantajoso. Ele atua como “hacker do bem” há três anos.

Formado em Ciência da Computação, Netto divide seu tempo entre um emprego na administração pública e as plataformas de bug bounty. Já ganhou três desafios internacionais de vulnerabilidade em sistemas que lhe renderam três viagens para Argentina e Estados Unidos.

Fonte: Estadão

Leia Mais:

Leia mais sobre Economia & Negócios

Última reunião do CAS do ano avalia investimentos que somam R$ 1,7 bi

Serão analisados 20 projetos industriais e de serviços e dois projetos agropecuários, que preveem geração de 832 postos de trabalho. Encontro vai acontecer em Boa Vista (RR).

2 de dezembro de 2021

Fatores climáticos levaram à queda do PIB, diz Ministério da Economia

Ministério da Economia diz que "maior crise hídrica em 90 anos e geadas tiveram impacto tanto no setor de energia como em setores que dependem do clima, como a agricultura".

2 de dezembro de 2021

PIB cai 0,1% no terceiro trimestre e Brasil entra em recessão técnica

Índice foi influenciado para baixo principalmente pela queda de 8,0% na agropecuária, consequência do encerramento da safra de soja e da queda nas exportações da commodity.

2 de dezembro de 2021

Investimento em sementes de malva busca nova forma de produção no AM

O cultivo de juta e malva é uma atividade que gera renda e ocupação econômica para mais de 2,08 mil agricultores familiares e produtores rurais no Amazonas.

2 de dezembro de 2021

CNI: sete em cada 10 indústrias têm dificuldades para comprar insumo

Dificuldades de abastecimento de insumos e matérias-primas afetaram em média 68% das empresas das indústrias extrativa e de construção, em outubro, segundo pesquisa da CNI.

2 de dezembro de 2021

Comissão Mista de Orçamento aprova acréscimo de R$ 72 bi para 2022

A Comissão Mista de Orçamento aprovou um acréscimo de mais de R$ 72 bilhões ao Projeto de Lei Orçamentária. Com o novo cálculo, governo se aproxima do equilíbrio fiscal.

2 de dezembro de 2021

Mercado Pet ganhou forte impulso no Amazonas durante a pandemia

Pandemia mostrou ao ser humano a necessidade de companhia, aproximando pessoas aos animais. Consequentemente, demanda por produtos e serviços destinados aos bichos cresceram.

2 de dezembro de 2021

Bancos digitais miram crédito para aquisição de automóveis

Eles estão de olho em um mercado que movimenta, em média, R$ 15 bilhões por mês, com 70% da concessão de financiamento concentrada em cinco grandes grupos.

1 de dezembro de 2021