Recompensas para Identificar Bugs: por que isso é tão importante na cibersegurança?

O que é Bug Bounty?

As chamadas bug bounties (também chamadas de threat hunting ou caça às ameaças) são programas criados por empresas, organizações de governo e até indivíduos para recompensar pessoas que conseguem encontrar, identificar e informar vulnerabilidades em hardware e software. O objetivo é criar incentivos para que hackers éticos (os chamados white hat hackers), especialistas em cibersegurança ou entusiastas de tecnologia consigam encontrar erros nos programas, plataformas e sistemas para facilitar a correção deles. Esses programas foram essenciais para combater as ameaças à cibersegurança em 2024 e vão continuar sendo fundamentais enquanto as ciberameaças existirem.

As recompensas pela identificação de bugs são estratégias pró-ativas de cibersegurança porque incentivam a detecção de falhas nos sistemas antes que elas sejam encontradas e exploradas por cibercriminosos, evitando danos tanto para as empresas e agências de governo quanto para os próprios usuários.

Muitas empresas, pessoas e agências que oferecem programas de recompensa por identificação de bugs buscam mais dinamismo e agilidade na detecção de problemas e no lançamento de patchs de correção rápidos que sejam capazes de fechar essas brechas antes que ações nocivas sejam feitas por parte de cibercriminosos.

Como os programas de Bug Bounty funcionam?

Não existe uma única forma de estruturar um programa de recompensas pela identificação de bugs e vulnerabilidades, mas no geral há uma estrutura de como esses programas são criados e como eles funcionam:

1. 1.O programa é criado e lançado por uma empresa, organização, agência de governo ou por um indivíduo. São definidas as regras de funcionamento, o escopo do programa e quais os benefícios e recompensas são oferecidos para quem participar e atender os requisitos, assim como quais tipos de falhas podem ser identificadas e relatadas.
2. 2.As vulnerabilidades são informadas e relatadas sempre que encontradas pelos participantes, e no geral elas precisam incluir a descrição detalhada do bug, como ele pode ser explorado, quais seus efeitos e outros detalhes, assim como apontamentos e indicações de como resolver o erro.
3. 3.As recompensas são entregues para quem identifica a vulnerabilidade caso tudo seja feito dentro das regras. Como regra, as recompensas variam e aumentam de acordo com o nível de gravidade e complexidade do erro identificado.

Muitas pessoas podem se perguntar se esses processos são legais. Essa é uma questão que pode mudar dependendo do país, mas no Brasil o processo é legal desde que a invasão seja permitida pela empresa. Leis como a 14.155/2021, a 12.737/2012 (mais conhecida como Lei Carolina Dieckmann) e 9.609/1998 são exemplos de legislações que tratam sobre a segurança de informações, sistemas e dispositivos, assim como a LGPD (Lei Geral de Proteção de Dados).

Basicamente, invadir sistemas e explorar vulnerabilidades sem o conhecimento e o consentimento das pessoas, organizações e empresas é crime, mas fazer isso dentro de um programa estabelecido de recompensas por identificação de bugs é algo totalmente permitido pela lei.

Por que os programas de Bug Bounty são importantes para a cibersegurança?

Os programas de recompensas pela identificação de bugs são fundamentais para melhorar a segurança dos nossos dados, da nossa privacidade e de praticamente tudo o que nós usamos em termos de tecnologia. Dos aplicativos para pedir comida, das plataformas de compras online, dos games e plataformas de streaming até os serviços de internet banking, tudo precisa de segurança para funcionar. 

Em um mundo de mudanças aceleradas e rápidas, vulnerabilidades podem surgir o tempo todo e a capacidade de identificar e corrigir esses erros com dinamismo e rapidez faz toda a diferença entre oferecer serviços confiáveis e seguros ou correr atrás de prejuízos imensos com vazamentos de dados, invasão de sistemas e diversos outros tipos de ciberataques.

Além disso, a estruturação de programas de bug bounty incentivam a atuação ética de hackers em oposição à ação de hackers criminosos, oferecendo mais vantagens e possibilidades de crescimento profissional por meio da identificação de vulnerabilidades para corrigi-las, ao invés de utilizá-las de forma nociva para atacar as pessoas e roubar dados pessoais e dinheiro delas.

Esses programas ajudam a atrair talentos e gerar oportunidades para pessoas com ótimo nível técnico que, de outras formas, seriam cooptadas para o crime cibernético. Quando adotados pelos governos, eles ajudam na defesa cibernética principalmente diante de cenários de conflitos cibernéticos e guerras de informações.

Ao incentivar a identificação prévia dos bugs, fica mais fácil lançar correções rápidas para fechar essas vulnerabilidades e oferecer programas, sistemas e serviços mais seguros. E, em termos financeiros, é muito mais barato investir nessas medidas do que ter que lidar com os prejuízos gerados por ciberataques. Afinal, como diz o ditado, é melhor prevenir do que remediar. 

É praticamente impossível pensar em threat protection sem a participação ativa de profissionais preparados para encontrar e resolver falhas. Ao contrário da imagem popular que muitas pessoas têm de enxergar hackers apenas como criminosos, eles em grande parte são fundamentais justamente para melhorar nossa segurança digital.

A história dos programas de recompensa por identificação de bugs

A história da cibersegurança anda lado a lado com o desenvolvimento dos programas de bug bounty. Os primeiros programas do tipo surgiram na década de 1980, quando a Hunter & Ready instituiu o primeiro programa de bug bounty para melhorar o Versatile Real-Time Executive, um RTOS (real-time operating system, ou sistema operacional em tempo real) desenvolvido pela Mentor Graphics em 1981. Na época, a recompensa oferecida pela Hunter & Ready era um carro Volkswagen Beetle (popularmente conhecido como Fusca no Brasil).

Mas a expressão Bug Bounty só começou a ser usada em 1995, quando Jarret Ridlinghafer (então engenheiro da Netscape Communications Corporation) passou a empregar esses termos.

Infelizmente, muitas gigantes da tecnologia só instituíram esse tipo de programa muito tempo depois. A Microsoft, por exemplo, só criou o primeiro programa oficial de recompensas por identificação de bugs em 2013, com dois programas que visavam descobrir vulnerabilidades no Internet Explorer 11 e no Windows 8.1.

Programas de bug bounty populares no mundo

Há diversos programas de bug bounty espalhados pelo mundo e atualmente o país que conta com o maior número de incentivos desse tipo é os Estados Unidos, seguido pela Índia e por Trinidad e Tobago.

Os governos também têm um papel fundamental nesses programas. Os Estados Unidos, por exemplo, possuem diversos incentivos governamentais para quem identifica e informa vulnerabilidades de cibersegurança. Em 2016 o Hack the Pentagon foi criado para incentivar melhorias nas ciberdefesas do Pentágono oferecendo recompensas para os especialistas inscritos no programa.

Da mesma forma, a China oferece programas e incentivos de Estado para os profissionais que encontram vulnerabilidades nos sistemas do país. 

Aqui você pode conferir uma lista resumida de alguns dos principais programas de caça aos bugs que existem internacionalmente:

• Facebook Bug Bounty Program
• Google Vulnerability Reward Program
• Microsoft Bug Bounty Program
• Apple Bug Bounty Program
• Intel Bug Bounty Program
• Tesla Bug Bounty Program
• Netflix Bug Bounty Program
• Samsung Bug Bounty Program
• Xiaomi Bug Bounty Program
• Airbnb Bug Bounty Program
• Nintendo Bug Bounty Program
• Alibaba Bug Bounty Program

Programas de bug bounty populares no Brasil

O cenário de cibersegurança no Brasil ainda é bastante desafiador. Como em todos os outros lugares do mundo, as ameaças cibernéticas surgem todos os dias, mas o maior país da América Latina infelizmente se destaca entre os países com piores níveis de segurança digital do mundo.

Apesar de as iniciativas ainda não estarem no nível das ameaças presentes no Brasil, há um aumento nos programas de recompensa pela identificação de vulnerabilidades. Hoje, a BugHunt (gerenciada pela Esi Cibersecurity, em São Paulo) é uma das plataformas do tipo que estão presentes no Brasil e foi a primeira do tipo a atuar no país. Empresas como OLX e Nubank oferecem recompensas para quem encontra e informa vulnerabilidades em seus sistemas.

Mas as iniciativas têm que melhorar e o setor ainda nem de longe investe como deveria em iniciativas preventivas, inclusive por parte do governo. De acordo com dados do IDC Brasil, os investimentos em cibersegurança aumentaram em 12% no país em 2023, mas a média ainda é baixa e corresponde a menos de 4% do orçamento total das empresas que ainda adotam mais medidas reativas do que preventivas.

Há pontos negativos e desvantagens nos programas de bug hunt?

Mesmo com os benefícios inquestionáveis dos programas de bug hunt, há alguns pontos negativos que precisam ser levados em conta:

• Gestão dos relatórios: as empresas podem enfrentar dificuldades para gerenciar volumes de relatórios excessivamente grandes, o que exige muito tempo e recursos para analisar todas as informações e definir se o bug é válido e se a recompensa deve ser concedida. Os gastos com pessoal podem ser muito altos.
• Riscos de integridade: não há garantias totais de que todos os participantes vão seguir os escopos dos projetos e há possibilidades reais de outros sistemas e áreas serem invadidos, o que gera problemas de vazamento de dados, ataque de phishing, uso de ransomware e outras táticas nocivas.
• Geração de vulnerabilidades: ao invés de relatar vulnerabilidades existentes, agentes com intenções ruins podem criar essas brechas e bugs para depois informá-los e receber recompensas de forma indevida.

Quanto dá para ganhar com bug bounty?

Hackers profissionais e éticos podem atuar no mercado de bug bounty e, apesar de ser difícil falar em um número exato, definitivamente esse mercado movimenta bastante dinheiro e as possibilidades de ganho são bem altas. De acordo com estimativas divulgadas pela Glassdoor, um profissional bug hunter pode ganhar em média R$50.792,00 ao ano, mas há vagas de bug hunter que pagam salários mensais superiores a R$20.000,00. 

Os ganhos dependem muito do tipo de programa, da empresa e do escopo dos projetos. Alguns programas são temporários e permitem ganhos ocasionais, outros visam atrair profissionais em tempo integral e são uma fonte de renda constante.

Com a expansão da IoT (Internet of Things ou Internet das Coisas), tecnologias smart home e a maior difusão da conectividade com a internet como um todo, os desafios de cibersegurança aumentam muito e os profissionais capazes de atuar no mercado de bug bounty também podem trabalhar em diversos outros ramos e nichos do mercado de tecnologia como um todo.

Como escolher o programa de bug bounty certo?

É fundamental levar em consideração as análises sobre a empresa e o projeto do qual você quer participar, quais as regras dos programas e quais as recompensas que são disponibilizadas. A transparência é um fator fundamental para garantir que o programa de bug bounty seja válido, assim como a confiabilidade da plataforma usada para gerenciar o programa de bug bounty.

Seja para uma iniciativa independente, uma empresa ou um programa do governo, o importante é buscar programas que sejam sólidos e realmente ofereçam boas oportunidades para a atuação profissional com recompensas que estejam de acordo com o nível de desafio e exigência do projeto.

Há alternativas ao bug bounty?

Os programas de bug bounty são muito importantes, mas há algumas alternativas que as pessoas, organizações e empresas podem usar no lugar desses programas ou em conjunto com eles:

• Pentest: os pentests (penetration tests, ou testes de penetração) são projetos de testes que têm como principal meta testar as defesas de um programa, sistema, rede ou qualquer outro recurso do tipo, tudo com o objetivo de identificar vulnerabilidades de segurança.
• VDP: sigla para Vulnerability Disclosure Program (ou programa de divulgação de vulnerabilidades), ela se refere a plataformas digitais criadas para receber e analisar informações sobre bugs, vulnerabilidades e demais erros de estrutura em programas, tecnologias, sistemas, redes, aplicações e outros recursos do tipo.
• Verificadores de vulnerabilidades: software criado especificamente para buscar, identificar e corrigir vulnerabilidades também constituem uma ótima alternativa ou complemento aos programas de bug bounty.
• Investir em equipes internas: contar com uma equipe interna de especialistas em cibersegurança também é uma forma extremamente válida e interessante de identificar e corrigir falhas e vulnerabilidades.
• Software VPN: um software VPN profissional ajuda a proteger conexões com criptografia de ponta. A NordVPN conta com ferramentas preventivas de cibersegurança, como a Proteção Contra Ameaças Pro, que identifica e bloqueia páginas maliciosas e verifica arquivos enquanto eles são baixados para encontrar malware. Essas ferramentas são uma adição importante à segurança digital das pessoas, empresas e organizações.

O futuro do bug bounty

É praticamente impossível imaginar o futuro da segurança sem os programas de recompensa por identificação e correção de bugs. As ciberameaças ficam mais fortes e surgem com mais rapidez, o que exige medidas cada vez mais pró-ativas e estratégias de prevenção. Afinal, não dá para viver correndo atrás dos prejuízos.

Conforme as ameaças se tornam mais complexas e desafiadoras, investir em prevenção, detecção e correção pró-ativa de vulnerabilidades são elementos que também precisam ser vistos com mais atenção e ganhar mais prioridade nas empresas e organizações que, em grande parte, ainda atuam muito mais com medidas reativas do que de prevenção.

Investir em programas de recompensa também é uma forma de retirar talentos do mundo do cibercrime e atraí-los para atuar de maneira profissional e honesta. Então, o futuro dos programas de bug bounty está diretamente ligado ao futuro da cibersegurança.