Que tal testar a segurança do ambiente digital da empresa, seja website, aplicativos, e-commerce ou sistemas de gestão? Será que eles estão vulneráveis a ataques de hackers? Para ajudar as empresas a identificarem falhas de segurança e também a corrigi-las, a BugHunt criou a primeira plataforma brasileira de Bug Bounty, um programa de recompensa por identificação de falhas. Em sua chegada ao mercado, a ferramenta colaborativa conta com a participação de mais de 1,5 mil especialistas em segurança cadastrados e já identificou mais de 270 vulnerabilidades recentemente.
Caio Telles, CEO da plataforma, explica que o Bug Bounty aplica o princípio do crowdsourcing à segurança cibernética: uma comunidade de especialistas é mobilizada, que fará testes dentro de um escopo definido e quem descobrir vulnerabilidades será recompensado. “Isso permite que as empresas identifiquem as brechas de segurança de forma antecipada, reduzindo riscos e evitando que os negócios sejam impactados pela ação de agentes mal-intencionados”, diz.
É a própria empresa quem define o tipo e as regras do seu programa de recompensa, o escopo que precisa proteger, por exemplo, o website ou aplicativo móvel, e a recompensa que deseja pagar. Normalmente, os valores variam de R$ 500 a R$ 2 mil, dependendo do nível de criticidade. Há empresas que já ofereceram R$ 8 mil.
O cliente ainda pode escolher entre duas modalidades de testes, a pública e a privada. Na primeira, o programa fica disponível para qualquer participante da plataforma. Na segunda, a companhia pode escolher profissionais na lista dos dez melhores hackers cadastrados ou até convidar especialistas que não fazem parte da plataforma. “Nos dois serviços, gerenciamos a definição de escopo e recompensa, a escolha de especialistas, a avaliação e triagem de relatórios e a verificação e correção de falhas nos serviços”, explica Telles.
Para iniciar o primeiro programa, recomenda-se um escopo limitado, que a empresa conheça bem e que já foi testado anteriormente. Ao receber os primeiros relatórios, a BugHunt ajudará a aperfeiçoar a segurança, expandindo e/ou adicionando mais itens ao escopo, ou tornando as regras mais abrangentes, aumentando o número de especialistas atuando nele. A BugHunt oferece suporte em todas as fases da criação, lançamento e monitoramento do programa, para que os escopos, regras, recompensas e número de especialistas sejam consistentes com o orçamento planejado. A plataforma é remunerada por meio de mensalidade e também com uma porcentagem da recompensa paga ao especialista que identificou a falha. Ambos os valores variam de acordo com as necessidades de cada empresa. Segundo Telles, ao se registrar na BugHunt, os especialistas assinam um termo de adesão e política de privacidade, comprometendo-se em cumprir rigorosamente as regras de cada programa em que participam, bem como a confidencialidade dos dados aos quais eles provavelmente acessarão. “Os especialistas são submetidos a uma triagem prévia, por meio de nossa plataforma para validar os dados pessoais, bancários e experiências anteriores”, afirma o executivo.
Celulares em risco
A empresa de segurança Check Point anunciou a descoberta de mais de 400 vulnerabilidades críticas no chip Qualcomm Snapdragon, usado em mais de 40% dos smartphones em todo o mundo. Esse componente do telefone, conhecido como DSP (Digital Signal Processor), faz parte dos celulares Android, incluindo equipamentos de última geração de marcas como Google, Samsung, LG, Xiaomi e OnePlus, entre outros. De acordo com a empresa, os cibercriminosos podem tirar proveito dessas falhas de segurança para espionar milhões de pessoas em todo o mundo por meio de seus dispositivos móveis.
Para tanto, eles precisam apenas que o usuário baixasse um aplicativo simples, que não requer permissões e que aparentemente é legítimo para acessar o smartphone. Entre as informações que podem ser extraídas do dispositivo móvel estão fotografias, vídeos, dados de localização e GPS, entre outras. Também é possível gravar chamadas e até ativar o microfone. Os atacantes ainda podem deixar o celular da vítima sem resposta, tornando indisponíveis as informações armazenadas no aparelho.
Serviço
www.bughunt.com.br
www.checkpoint.com
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo