Todo software tem bugs ou falhas que causam problemas. Eles variam de problemas banais que não afetam o desempenho do software de forma significativa a vulnerabilidades de segurança graves.
Os bugs podem ser difíceis de detectar, e é por isso que muitas empresas de tecnologia têm programas de recompensas por bugs. Mas o que são exatamente os programas de recompensas por bugs? Como eles funcionam e como ajudam a melhorar a segurança de um produto?
Como funcionam os programas de recompensas de bugs
Empresas lançam programas de recompensas por bugs para incentivar hackers de chapéu branco para procurar brechas de segurança e vulnerabilidades semelhantes em software. Normalmente, há um prêmio monetário mais do que decente para quem descobre um bug, não importa o quão insignificante possa parecer para a pessoa comum.
E não são apenas as empresas pequenas e promissoras que têm programas de recompensas por bugs. Na verdade, a maioria dos gigantes da tecnologia os administra, incluindo Google, Microsoft, Facebook e Apple. Detalhes sobre esses programas geralmente podem ser encontrados no site oficial da empresa. Na maioria das vezes, existem vários níveis ou categorias. Mas, em princípio, quanto mais significativo for um bug, maior será a recompensa.
Assim que um hacker de chapéu branco descobre um bug, ele envia um relatório de divulgação detalhado explicando o que encontrou. Os engenheiros da empresa revisam e investigam o envio e, se as descobertas do pesquisador forem precisas e úteis, eles são notificados e recebem uma recompensa monetária.
Este sistema funciona tanto para empresas quanto para pesquisadores independentes. Do ponto de vista de qualquer empresa, é melhor que um hacker ético descubra um bug do que um agente de ameaça, que provavelmente passaria a explorá-lo antes que seja corrigido, potencialmente causando milhões em danos. Os hackers, por outro lado, fazem uma boa parte da mudança participando de programas de recompensas por bugs - alguns até ganham dinheiro em tempo integral descobrindo vulnerabilidades de software.
Exemplos de programas de recompensas para bugs que melhoram a segurança do software
É bom saber como os programas de recompensas por bugs funcionam na teoria, mas vamos dar uma olhada em alguns exemplos reais de empresas que pagam grandes quantias para hackers de chapéu branco.
Em cooperação com a plataforma de recompensas de bugs Immunefi, a plataforma de ponte blockchain descentralizada Wormhole lançou em fevereiro de 2022 um programa de recompensas oferecendo US$ 10 milhões para quem descobrir uma segurança crítica erro. Logo, um hacker de chapéu branco usando o pseudônimo satya0x descobriu um. Como Immunefi explicou em um Médio post, o bug poderia ter bloqueado os fundos do usuário, então satya0x recebeu $ 10 milhões por divulgá-lo.
Também em fevereiro de 2022, a exchange de criptomoedas Coinbase pagou uma recompensa de US$ 250.000 por bug a um pesquisador independente por descobrir uma grande falha na interface de negociação da plataforma.
Laboratórios Aurora, a empresa por trás da Máquina Virtual Aurora Ethereum (ETH), pagou uma enorme recompensa de US$ 6 milhões em abril de 2022. O dinheiro foi concedido a um hacker ético conhecido como pwning.eth, depois que ele descobriu uma vulnerabilidade que teria permitido que os agentes de ameaças cunhassem um suprimento infinito da criptomoeda Ethereum no Aurora motor.
A gigante canadense do comércio eletrônico Shopify, enquanto isso, quebrou seu próprio recorde em 2021, quando seus pagamentos de recompensas totalizaram US$ 1 milhão. Naquele ano, a empresa recebeu um total de 3.000 relatórios de bugs de hackers de chapéu branco em todo o mundo. Em resposta, a Shopify aumentou sua recompensa máxima para US$ 100.000.
Esses números podem parecer absurdamente altos, mas realmente não são em comparação com a quantidade de dinheiro e dados que os cibercriminosos poderiam ganhar descobrindo vulnerabilidades. O Wormhole estabeleceu apenas uma recompensa de bug de US$ 10 milhões depois de perder US$ 320 milhões devido a uma violação. Aurora Labs recompensou um hacker de chapéu branco porque $ 6 milhões empalidecem em comparação com a perda de $ 240 milhões no valor de ETH, enquanto Coinbase e Shopify provavelmente economizaram dezenas de milhões ao compensar esforços diligentes pesquisadores.
Os 5 melhores programas de recompensas de bugs bem pagos
Como as empresas realmente economizam muito dinheiro criando programas recompensadores de recompensas por bugs, há uma variedade de opções que os pesquisadores podem escolher. Se você é um hacker de chapéu branco ou gostaria de se tornar um, aqui estão cinco programas de recompensas de bugs bem pagos a serem considerados.
O Apple Security Bounty é um dos programas de recompensas por bugs mais populares do mundo. As recompensas variam de US$ 5.000 para descobrir vulnerabilidades na tela de bloqueio a US$ 2 milhões para falhas de segurança que permitiriam que um agente de ameaças contornasse Proteções do modo de bloqueio. Tudo o que você precisa fazer para enviar um relatório de bug (que precisa ser completo e detalhado) é entrar com seu ID Apple.
Outro programa popular de recompensas por bugs é executado pela Microsoft, que oferece uma ampla gama de recompensas. Assim como o da Apple, o programa da Microsoft é dividido em dezenas de categorias diferentes. Por exemplo, se você descobrir uma vulnerabilidade no Microsoft. NET framework, você pode esperar um pagamento de até US$ 15.000. Mas se você descobrir um em Microsoft Hyper-V, você pode receber uma recompensa de até $ 250.000.
O Samsung Rewards Program está centrado nos produtos móveis da empresa. Ele tem políticas relativamente rígidas, então certifique-se de lê-las cuidadosamente antes de enviar um bug. Além disso, observe que apenas os bugs que afetam a segurança dos dispositivos Samsung são levados em consideração pelos engenheiros da empresa. As recompensas variam entre US$ 200 e US$ 200 mil.
No programa de recompensas Google Bug Hunters, as recompensas chegam a US$ 30.000. Os caçadores de bugs, como os hackers de chapéu branco costumam ser chamados, podem relatar bugs no Gmail, YouTube, BlogSpot e outros serviços do Google. Este programa tem uma comunidade muito ativa e sua própria universidade online, que pode ser um ótimo recurso para pesquisadores iniciantes.
O programa de recompensas da Meta cobre Facebook, Instagram, WhatsApp, Messenger e uma série de outros produtos. Para ser considerado para uma recompensa (o mínimo é $ 500), você precisa encontrar vulnerabilidades que representam um risco de segurança ou privacidade e atender a requisitos claramente definidos. Todos os relatórios válidos recebem uma resposta. Se vários caçadores identificarem o mesmo problema, a recompensa será dada à primeira pessoa que enviar um relatório.
Programas de recompensas para bugs: o melhor da segurança colaborativa
Os programas de recompensa de bugs representam o melhor da segurança de crowdsourcing. E não são apenas as empresas de tecnologia e os pesquisadores de segurança cibernética que se beneficiam deles – todos se beneficiam, inclusive os consumidores.
Para alguns, a caça de insetos é um hobby e, para outros, uma carreira completa. Se você se enquadra na última categoria, ou deseja, há muitos cursos online que vale a pena dar uma olhada.
