Hackers do bem ajudam a encontrar brechas de segurança

Que tal testar a segurança do ambiente digital da empresa, seja website, aplicativos, e-commerce ou sistemas de gestão? Será que eles estão vulneráveis a ataques de hackers? Para ajudar as empresas a identificarem falhas de segurança e também a corrigi-las, a BugHunt criou a primeira plataforma brasileira de Bug Bounty, um programa de recompensa por identificação de falhas. Em sua chegada ao mercado, a ferramenta colaborativa conta com a participação de mais de 1,5 mil especialistas em segurança cadastrados e já identificou mais de 270 vulnerabilidades recentemente.
Caio Telles, CEO da plataforma, explica que o Bug Bounty aplica o princípio do crowdsourcing à segurança cibernética: uma comunidade de especialistas é mobilizada, que fará testes dentro de um escopo definido e quem descobrir vulnerabilidades será recompensado. “Isso permite que as empresas identifiquem as brechas de segurança de forma antecipada, reduzindo riscos e evitando que os negócios sejam impactados pela ação de agentes mal-intencionados”, diz.
É a própria empresa quem define o tipo e as regras do seu programa de recompensa, o escopo que precisa proteger, por exemplo, o website ou aplicativo móvel, e a recompensa que deseja pagar. Normalmente, os valores variam de R$ 500 a R$ 2 mil, dependendo do nível de criticidade. Há empresas que já ofereceram R$ 8 mil.
O cliente ainda pode escolher entre duas modalidades de testes, a pública e a privada. Na primeira, o programa fica disponível para qualquer participante da plataforma. Na segunda, a companhia pode escolher profissionais na lista dos dez melhores hackers cadastrados ou até convidar especialistas que não fazem parte da plataforma. “Nos dois serviços, gerenciamos a definição de escopo e recompensa, a escolha de especialistas, a avaliação e triagem de relatórios e a verificação e correção de falhas nos serviços”, explica Telles.

Para iniciar o primeiro programa, recomenda-se um escopo limitado, que a empresa conheça bem e que já foi testado anteriormente. Ao receber os primeiros relatórios, a BugHunt ajudará a aperfeiçoar a segurança, expandindo e/ou adicionando mais itens ao escopo, ou tornando as regras mais abrangentes, aumentando o número de especialistas atuando nele. A BugHunt oferece suporte em todas as fases da criação, lançamento e monitoramento do programa, para que os escopos, regras, recompensas e número de especialistas sejam consistentes com o orçamento planejado. A plataforma é remunerada por meio de mensalidade e também com uma porcentagem da recompensa paga ao especialista que identificou a falha. Ambos os valores variam de acordo com as necessidades de cada empresa. Segundo Telles, ao se registrar na BugHunt, os especialistas assinam um termo de adesão e política de privacidade, comprometendo-se em cumprir rigorosamente as regras de cada programa em que participam, bem como a confidencialidade dos dados aos quais eles provavelmente acessarão. “Os especialistas são submetidos a uma triagem prévia, por meio de nossa plataforma para validar os dados pessoais, bancários e experiências anteriores”, afirma o executivo.
Celulares em risco
A empresa de segurança Check Point anunciou a descoberta de mais de 400 vulnerabilidades críticas no chip Qualcomm Snapdragon, usado em mais de 40% dos smartphones em todo o mundo. Esse componente do telefone, conhecido como DSP (Digital Signal Processor), faz parte dos celulares Android, incluindo equipamentos de última geração de marcas como Google, Samsung, LG, Xiaomi e OnePlus, entre outros. De acordo com a empresa, os cibercriminosos podem tirar proveito dessas falhas de segurança para espionar milhões de pessoas em todo o mundo por meio de seus dispositivos móveis.
Para tanto, eles precisam apenas que o usuário baixasse um aplicativo simples, que não requer permissões e que aparentemente é legítimo para acessar o smartphone. Entre as informações que podem ser extraídas do dispositivo móvel estão fotografias, vídeos, dados de localização e GPS, entre outras. Também é possível gravar chamadas e até ativar o microfone. Os atacantes ainda podem deixar o celular da vítima sem resposta, tornando indisponíveis as informações armazenadas no aparelho.
Serviço
www.bughunt.com.br
www.checkpoint.com