Andres Alonso, um jovem de 15 anos, estava navegando pelo YouTube, assistindo vários conteúdos sobre programação, já que ele é um entusiasta de segurança da informação, quando acabou se deparando com uma informação que desconhecia: o Facebook tem um programa de bonificação para hackers e desenvolvedores que identifiquem vulnerabilidades nas plataformas da companhia. Dessa forma, o adolescente passou a investigar o Instagram durante alguns meses, e acabou descobrindo um “bug” (falha no sistema) na rede social. Ao informar à empresa sobre a sua descoberta, Alonso recebeu US$ 25 mil. O prêmio recebido pelo brasileiro foi dado através da plataforma de “bug bounty” do Facebook, sendo que outras empresas de tecnologia adotam a mesma nomenclatura para o programa que paga as pessoas que encontram alguma vulnerabilidade em suas plataformas e as informa.
A falha que Alonso identificou estava presente no Spark AR Studio, site de criação de filtros do Instagram. Segundo o jovem, “Esses efeitos de câmeras são compartilháveis: um usuário clica e pode usar o filtro. No entanto, percebi que podia manipular os links para incluir qualquer código e, se o usuário clicasse, eu teria acesso direto à conta dessa pessoa”.
Alonso se inscreveu no programa de recompensas em agosto do ano passado, após isso, ele enviou um relatório para a empresa de Zuckerberg, com todos os detalhes que havia descoberto durante a sua exploração. E para a surpresa do garoto, apenas um dia depois dele ter enviado as informações que havia coletado, o problema foi resolvido. “Quando isso aconteceu, entendi que realmente era um problema sério para terem resolvido tão rapidamente”, afirma Alonso.
Aproximadamente um mês depois, a empresa entrou em contato com o jovem, agradecendo sua contribuição e lhe informando que lhe daria uma recompensa. “O trabalho do bug bounty é entender como os sistemas funcionam e caçar falhas. Assim as empresas se tornam mais seguras,” diz Alonso. Com isso, as companhias têm investido cada vez mais na segurança dos seus sistemas, a exemplo das melhores casas de apostas, que utilizam criptografia de ponta para se proteger os dados dos seus clientes, evitando assim o vazamento de informações.
Mercado milionário
Atualmente, o mercado para os “caçadores de bugs” tem crescido exponencialmente. Segundo o relatório “The Hacker Report”, feito pela plataforma HackerOne, no ano passado, os programadores cadastrados na “bug bounty” juntos receberam aproximadamente US$ 40 milhões em recompensas. Sendo que somente um hacker angariou mais de US$ 2 milhões. O relatório ainda aponta que o principal motivo pelos quais os hackers ingressam nesses programas é o aprendizado e testes de conhecimentos técnicos que alcançam procurando falhas em sistemas, sendo essa alternativa marcada por 85% dos entrevistados. Na segunda posição, aparece a recompensa financeira como fator decisivo para escolher a atividade de caçador de bug, e 76% dos entrevistados escolheram essa alternativa.
O setor privado é o principal responsável pelo crescimento deste mercado. E dia após dia, as empresas têm desenvolvido seus programas de bug bounty com o intuito de prevenir que cibercriminosos tomem proveito das falhas e vulnerabilidades do seus sistemas, o que pode causar prejuízos milionários.
O banco suiço Julius Baer previu que em 2021 os crimes cibernéticos custarão à economia global ao menos US$ 6 trilhões. Em junho deste ano tivemos um exemplo do estrago que os cibercriminosos podem causar – quando a JBS teve que paralisar alguns turnos em seus frigoríficos no Canadá, Estados Unidos e Austrália, após ter sido vítima de um ataque cibernético, que acabou bloqueando o acesso aos sistemas da empresa, e os criminosos exigiram uma recompensa para liberá-los. E para evitar um prejuízo maior relacionado ao vazamento de dados, a companhia acabou pagando o “resgate” de US$ 11 milhões.
