Domingo, 22 de Maio de 2022

Home em foco “Hackers do bem” ajudam empresas a identificarem falhas antes que ocorram

Compartilhe esta notícia:

Os vazamentos de dados nos últimos anos e o rigor da Lei Geral de Proteção de Dados (LGPD), somados ao aumento da digitalização na pandemia, levaram as empresas a mudarem de atitude em relação à cibersegurança. Agora, elas mesmas caçam as falhas. E, para isso, contam com a ajuda de quem domina o assunto: os próprios hackers.

A conexão entre empresas e hackers acontece por meio de plataformas de bug bounty (recompensa por falhas, em tradução livre), bastante comuns no exterior, principalmente nos Estados Unidos. As companhias cadastradas nesses programas permitem que os profissionais tentem invadir seus sistemas e oferecem pagamentos conforme a vulnerabilidade encontrada.

A plataforma mais conhecida no exterior é a HackerOne, que atende empresas como Twitter, Uber e Starbucks. No Brasil, a primeira plataforma de bug bounty é recente: a BugHunt surgiu em março de 2020, no início da pandemia, e hoje presta serviços para cerca de 20 companhias, como TIM, OLX e Webmotors, com mais de 8 mil hackers cadastrados.

Cibersegurança

A Enjoei, loja on-line de produtos usados, é uma das empresas que decidiu investir na prevenção por meio de um programa de recompensas. Em outubro de 2021, fechou parceria com a BugHunt, com pagamento de até R$ 1.500 por falha encontrada.

Responsável pela área de tecnologia da Enjoei, Carlos Brando explica que, com o aumento de tráfego na plataforma, foi preciso elevar o nível de maturidade da segurança da empresa, o que incluiu a criação de times especializados, processos internos mais rígidos e governança dos dados.

“No home office não temos controle de onde o funcionário está trabalhando, nem de qual rede ele usa para se conectar. Dados pessoais são, sempre que possível, criptografados. Mas, ainda assim, tomamos todas as providências para que essas informações estejam sempre seguras”, afirma Brando.

Caio Telles, CEO da BugHunt, aponta a pandemia e o aumento do número de ataques, além da entrada em vigor da LGPD, como responsáveis pelo crescimento orgânico do mercado de cibersegurança no Brasil: “É lógico que as empresas têm medo da multa, mas a LGPD também fez com que as companhias notassem que o risco existe. As áreas de TI passaram a ter mais importância.”

Aprovada em agosto de 2018, a LGPD começou a valer em agosto de 2020. As sanções, porém, só entraram em vigor em agosto de 2021. Incluem desde advertência até multa de 2% do faturamento anual da empresa, limitada ao valor de R$ 50 milhões por infração.

Nos programas de identificação de falhas, as próprias empresas estabelecem o quanto estão dispostas a pagar pelos problemas encontrados. Na BugHunt, por exemplo, o valor varia, em média, de R$ 100 a R$ 10 mil por vulnerabilidade.

Fabio Assolini, analista sênior de Segurança da Kaspersky, explica que os valores tendem a variar de acordo com a gravidade da falha. A Kaspersky, por exemplo, participa da HackerOne desde 2015 e oferece recompensas de US$ 2 mil a US$ 20 mil, em média. Para a vulnerabilidade mais crítica, porém, o valor é de US$ 100 mil.

“Esse é o valor para a identificação dos bugs mais graves, que permitem a um hacker distribuir um código malicioso usando a atualização do antivírus da Kaspersky. Seria fatal para o nosso negócio”, explica Assolini. “Mas até hoje essa falha não foi encontrada, ainda não pagamos esse valor.”

Desmistificação

Para Telles, da BugHunt, o maior desafio para o bug bounty é “educar o mercado” e mostrar para as empresas que os hackers “não são pessoas ruins”. “A maioria dos hackers cadastrados na nossa plataforma, cerca de 90%, são profissionais formados na área de Tecnologia da Informação e que já atuam em grandes empresas. Os demais são estudantes”, aponta.

Um dos hackers cadastrados na BugHunt é o analista de sistemas Guilherme Scombatti, de 34 anos. Ele começou a atuar nesse mercado nas plataformas americanas e europeias, e conta que já chegou a receber mais de R$ 10 mil por falha encontrada. Como tem emprego formal, ele dedica cerca de 15 horas por semana ao bug bounty.

“Nenhuma empresa é 100% segura, se você ficar procurando sempre vai encontrar algo. E a vantagem desse tipo de serviço para as empresas é que elas terão pessoas procurando por vulnerabilidades 24 horas por dia, mas que só serão remuneradas se encontrarem algum problema”, ressalta.

Compartilhe esta notícia:

Voltar Todas de em foco

Ao saírem do País rumo a Portugal, os brasileiros costumam deixar para trás os planos privados de assistência médica e recorrem à saúde pública portuguesa
Ômicron: pacientes relatam mais um sintoma da nova variante do coronavírus
Deixe seu comentário
Pode te interessar
Baixe o app da RÁDIO Pampa App Store Google Play

No Ar: Pampa Bom Dia