Para reforçar nossa série de artigos sobre a história do hacking, hoje exploramos o mundo do Bug Bounty. Ao contrário do que você pode pensar, essa não é uma referência a um bug que engoliu uma barra de chocolate, mas sim a uma caça a vulnerabilidades de computador.

O que é um Bug Bounty?

Um bug bounty é um convite oficial e pago feito por empresas a hackers para que descubram possíveis bugs e/ou falhas de segurança em seus sistemas. Graças a esses programas, os problemas podem ser detectados e resolvidos antes de se tornarem conhecidos ou experimentados pelo público em geral.

Esses programas também são conhecidos como programas de recompensa por bugs.

Os programas Bug Bounty são novos?

Foi um dos pioneiros da Internet que lançou o princípio em meados dos anos 90. Naquela época, a Netscape Communication, famosa por seu navegador, tinha uma comunidade zelosa de engenheiros altamente inspirados. Esses fãs também incluíam funcionários da empresa. Naquela época, um dos chefes do departamento técnico teve a ideia de criar o primeiro programa Bug Bounty. Os funcionários foram incentivados a ir ainda mais longe na busca de bugs e falhas de segurança por meio de recompensas. A Internet também foi convidada a fazer o mesmo, por meio de fóruns dedicados à Netscape e de vários sites não oficiais.

O sucesso desse programa continua até hoje. Não são apenas as empresas que o oferecem, mas também alguns governos e exércitos.

Os principais participantes de um programa Bug Bounty não são as empresas ou os desenvolvedores do software que está sendo testado, mas os hackers. Eles são conhecidos por vários nomes, de pesquisadores a caçadores. Os hackers são considerados não hostis e são chamados de hackers éticos quando trabalham para descobrir uma falha de segurança. Mesmo que sejam pagos por suas descobertas, o desafio imposto por determinados programas Bug Bounty é suficiente para motivar muitos deles.

As empresas já não têm seus próprios provedores de segurança?

A principal atração dos programas Bug Bounty está no fato de que, em teoria, uma empresa tem um grande número de hackers motivados com uma ampla gama de habilidades à sua disposição 24 horas por dia, espalhados por todo o mundo. Os caçadores mais ativos estão na Índia, na Rússia e nos Estados Unidos.

O Bug Bounty tornou-se rapidamente um padrão de segurança cibernética. Embora as empresas que fornecem auditorias de segurança sejam sempre úteis, suas missões geralmente se concentram em pontos muito específicos. Os programas Bug Bounty são muito mais abertos e incentivam a criatividade.

Inicialmente, a ideia de convidar hackers para invadir seus sistemas pode ter desencorajado muitos diretores de empresas, mas as descobertas e o grande número de relatórios de vulnerabilidades de sistemas altamente relevantes acabaram convencendo os últimos céticos.

Bug Bounty: como funciona?

A proteção de dados confidenciais é o principal motivo pelo qual as empresas recorrem aos pesquisadores. Embora gigantes como a Microsoft, o Facebook e o Google possam se dar ao luxo de coordenar e administrar um programa Bug Bounty por conta própria, esse não é o caso de todas as empresas. Existem plataformas que permitem a criação desses grupos de caça.

Quais são as regras de um Bug Bounty?

Os programas Bug Bounty estão sujeitos a regras rígidas. Se um hacker não cumprir essas regras, ele estará violando as regras e poderá não receber nenhuma compensação financeira ou ser totalmente banido.
Os pesquisadores devem tomar cuidado para não danificar propriedades ou dados durante seus testes de penetração. Todas as vulnerabilidades relatadas devem ser diretamente exploráveis. Mesmo que haja uma escala para bônus, o valor está diretamente sujeito ao critério da empresa que lançou o programa de caça.

Cada relatório deve ser acompanhado de uma declaração de princípio e de uma descrição detalhada das medidas a serem tomadas. O pentester* também deve explicar como a falha que detectou pode afetar os dados de um usuário e/ou a operação correta de um aplicativo/software/sistema.

*Pentester: Hacker que explora diferentes cenários de intrusão em um sistema de informações.

Quais VPNs têm programas Bug Bounty?

Invisível para o público em geral, esse eterno balé, essa caçada interminável, traz sua parcela de benefícios para os usuários da Internet. Muitos aplicativos e serviços seguros não seriam possíveis sem esse tipo de iniciativa. As redes privadas virtuais não são exceção.

Entre as VPNs que criaram programas de caça a vulnerabilidades estão a NordVPN, a PureVPN e a Private Internet Access.

A CyberGhost, uma das empresas mais conhecidas no que diz respeito à proteção da privacidade on-line, acaba de lançar seu programa de caça a bugs. Ela está convidando especialistas em segurança independentes para descobrir quaisquer vulnerabilidades em alguns de seus sistemas. Essa VPN barata gerencia todo o programa sem passar por uma plataforma. Há quatro níveis de prêmios, dependendo das vulnerabilidades relatadas, e os participantes podem receber até US$ 1.250.

Lucas Ribeiro Almeida
Lucas Ribeiro Almeida

Expert em VPN e segurança digital, revelando os segredos das redes privadas virtuais para uma navegação segura e privada.