Todo software tem bugs ou falhas que causam problemas. Eles variam de problemas banais que não afetam o desempenho do software de forma significativa a vulnerabilidades de segurança graves.
Os bugs podem ser difíceis de detectar, e é por isso que muitas empresas de tecnologia têm programas de recompensas por bugs. Mas o que são exatamente os programas de recompensas por bugs? Porquê eles funcionam e porquê ajudam a melhorar a segurança de um resultado?
Porquê funcionam os programas de recompensas de bugs
As empresas lançam programas de recompensa de bugs para incentivar hackers de chapéu branco a procurar falhas de segurança e vulnerabilidades semelhantes em software. Normalmente, há um prêmio monetário mais do que decente para quem descobre um bug, não importa o quão insignificante possa parecer para a pessoa generalidade.
E não são somente as empresas pequenas e promissoras que têm programas de recompensas por bugs. Na verdade, a maioria dos gigantes da tecnologia os administra, incluindo Google, Microsoft, Facebook e Apple. Detalhes sobre esses programas geralmente podem ser encontrados no site solene da empresa. Na maioria das vezes, existem vários níveis ou categorias. Mas, em princípio, quanto mais significativo for um bug, maior será a recompensa.
Logo que um hacker de chapéu branco descobre um bug, ele envia um relatório de divulgação detalhado explicando o que encontrou. Os engenheiros da empresa revisam e investigam o envio e, se as descobertas do pesquisador forem precisas e úteis, eles são notificados e recebem uma recompensa monetária.
Oriente sistema funciona tanto para empresas quanto para pesquisadores independentes. Do ponto de vista de qualquer empresa, é melhor que um hacker ético descubra um bug do que um agente de prenúncio, que provavelmente iria explorá-lo antes que fosse consertado, potencialmente causando milhões em danos. Os hackers, por outro lado, fazem uma boa secção da mudança participando de programas de recompensas por bugs – alguns até ganham numerário em tempo integral descobrindo vulnerabilidades de software.
Exemplos de programas de recompensas para bugs que melhoram a segurança do software
É bom saber porquê os programas de recompensa por bugs funcionam na teoria, mas vamos dar uma olhada em alguns exemplos reais de empresas que pagam grandes quantias para hackers de chapéu branco.
Em cooperação com a plataforma de recompensas de bugs Immunefi, a plataforma de ponte blockchain descentralizada Wormhole lançou em fevereiro de 2022 um programa de recompensas oferecendo US$ 10 milhões para quem desvendar um bug crítico de segurança. Logo, um hacker de chapéu branco usando o pseudônimo satya0x descobriu um. Porquê Immunefi explicou em um post do Medium, o bug poderia ter bloqueado os fundos do usuário, logo satya0x recebeu $ 10 milhões por divulgá-lo.
Também em fevereiro de 2022, a exchange de criptomoedas Coinbase pagou uma recompensa de bug de $ 250.000 a um pesquisador independente por desvendar uma grande omissão na interface de negociação da plataforma.
Aurora Labs, a empresa por trás da Aurora Ethereum (ETH) Virtual Machine, pagou uma enorme recompensa de $ 6 milhões em abril de 2022. O numerário foi outorgado a um hacker ético sabido porquê pwning.eth, depois que ele descobriu uma vulnerabilidade que teria permitido ameaças atores para cunhar um suprimento infinito da criptomoeda Ethereum no motor Aurora.
Enquanto isso, a gigante canadense de transacção eletrônico Shopify quebrou seu próprio recorde em 2021, quando seus pagamentos de recompensas totalizaram US$ 1 milhão. Naquele ano, a empresa recebeu um totalidade de 3.000 relatórios de bugs de hackers de chapéu branco em todo o mundo. Em resposta, a Shopify aumentou sua recompensa máxima para US$ 100.000.
Esses números podem parecer absurdamente altos, mas realmente não são em confrontação com a quantidade de numerário e dados que os cibercriminosos poderiam lucrar descobrindo vulnerabilidades. O Wormhole estabeleceu somente uma recompensa de bug de US$ 10 milhões depois de perder US$ 320 milhões devido a uma violação. Aurora Labs recompensou um hacker de chapéu branco porque $ 6 milhões empalidecem em confrontação com a perda de $ 240 milhões em ETH, enquanto Coinbase e Shopify provavelmente economizaram dezenas de milhões ao gratificar pesquisadores diligentes.
Os 5 melhores programas de recompensas de bugs muito pagos
Porquê as empresas realmente economizam muito numerário criando programas recompensadores de recompensas por bugs, há uma variedade de opções que os pesquisadores podem escolher. Se você é um hacker de chapéu branco ou gostaria de se tornar um, cá estão cinco programas de recompensas de bugs muito pagos a serem considerados.
1. Prêmio de segurança da Apple
O Apple Security Bounty é um dos programas de recompensas por bugs mais populares do mundo. As recompensas variam de US$ 5.000 para desvendar vulnerabilidades na tela de bloqueio a US$ 2 milhões para falhas de segurança que permitiriam que um agente de ameaças contornasse as proteções do modo de bloqueio. Tudo o que você precisa fazer para enviar um relatório de bug (que precisa ser completo e detalhado) é entrar com seu ID Apple.
2. Programa de Recompensas de Bugs da Microsoft
Outro programa popular de recompensas por bugs é executado pela Microsoft, que oferece uma ampla gama de recompensas. Assim porquê o da Apple, o programa da Microsoft é dividido em dezenas de categorias diferentes. Por exemplo, se você desvendar uma vulnerabilidade na estrutura do Microsoft.NET, poderá receber um pagamento de até US$ 15.000. Mas se você desvendar um no Microsoft Hyper-V, poderá receber uma recompensa de até US$ 250.000.
3. Programa de Recompensas Samsung
O Samsung Rewards Program está centrado nos produtos móveis da empresa. Ele tem políticas relativamente rígidas, logo certifique-se de lê-las cuidadosamente antes de enviar um bug. Aliás, observe que somente os bugs que afetam a segurança dos dispositivos Samsung são levados em consideração pelos engenheiros da empresa. As recompensas variam entre US$ 200 e US$ 200 milénio.
4. Caçadores de bugs do Google
No programa de recompensas Google Bug Hunters, as recompensas chegam a US$ 30.000. Os caçadores de bugs, porquê os hackers de chapéu branco costumam ser chamados, podem relatar bugs no Gmail, YouTube, BlogSpot e outros serviços do Google. Oriente programa tem uma comunidade muito ativa e sua própria universidade online, que pode ser um ótimo recurso para pesquisadores iniciantes.
5. Meta Bug Recompensa
O programa de recompensas da Meta cobre Facebook, Instagram, WhatsApp, Messenger e uma série de outros produtos. Para ser considerado para uma recompensa (o mínimo é $ 500), você precisa encontrar vulnerabilidades que representam um risco de segurança ou privacidade e atender a requisitos claramente definidos. Todos os relatórios válidos recebem uma resposta. Se vários caçadores identificarem o mesmo problema, a recompensa será dada à primeira pessoa que enviar um relatório.
Programas de recompensas para bugs: o melhor da segurança colaborativa
Os programas de recompensa de bugs representam o melhor da segurança de crowdsourcing. E não são somente as empresas de tecnologia e os pesquisadores de segurança cibernética que se beneficiam deles – todos se beneficiam, inclusive os consumidores.
Para alguns, a caça de insetos é um hobby e, para outros, uma curso completa. Se você se enquadra na última categoria, ou deseja, há muitos cursos online que vale a pena dar uma olhada.
Barnabé Ferreira