Pouco a pouco o mercado brasileiro de segurança está se habituando a abordar um tema que já foi desconhecido: o bug bounty, programa que recompensa a descoberta de vulnerabilidades em aplicações e outros recursos digitais. Oferecido por plataformas bem conhecidas como a HackerOne e também por empresas como Google, Apple e outras, o bug bounty é muito recente no Brasil: por enquanto há somente a plataforma Bug Hunt, fundada pelos empreendedores Bruno e Caio Telles em Sorocaba, e a Hackaflag, em São Paulo. Bruno e Caio Telles estão assistindo a um crescimento do mercado – e de sua empresa – para esse tipo de iniciativa.
Veja isso
Plataforma de bug bounty brasileira já tem 2 mil especialistas
Teams inaugura programa de bug bounty da Microsoft para aplicativos
“Nesses dois anos, acho que o mercado passou a nos receber bem”, conta Bruno. “Tivemos um pouco de dificuldade no começo, porque muitas empresas não conheciam o conceito, mas isso evoluiu bastante”. A Bug Hunt foi fundada em 4 de Março de 2020 pelos dois empreendedores e cinco meses depois tinha cinco clientes e dois mil hackers cadastrados. Nesse intervalo, cresceu e tem atualmente perto de 15 clientes e uma comunidade de 12 mil hackers cadastrados e verificados, credenciados para testar a vulnerabilidade dos clientes.
O interesse pelo bug bounty cresceu tanto por parte dos hackers quanto das empresas que contratam a plataforma: a comunidade da Bug Hunt já gerou mais de 3 mil relatórios de vulnerabilidades e um dos membros já acumulou perto de R$ 100 mil em premiações.
No modelo de negócios do bug bounty, as empresas que querem descobrir vulnerabilidades contratam os serviços da plataforma e os hackers cadastrados fazem as buscas para localizar vulnerabilidades. As que são encontradas são informadas ao cliente, que então premia os hackers pelas descobertas.
Atualmente, a plataforma já tem receita suficiente para pagar seus custos, conta Bruno: “Estamos agora num ritmo de crescimento constante e sustentável. Os clientes entram na plataforma e essa receita é reinvestida, seja aumentando o time ou contratando servicos”, confirma Caio Telles.
Os fundadores da Bug Hunt chamam a atenção para o fato de que um programa de bug bounty não substitui o trabalho de especialistas com outras ferramentas em projetos corporativos de segurança da informação e cibersegurança. Para que uma empresa inicie um programa de recompensas, o ideal é que antes ela se prepare, resolvendo os problemas de segurança com as suas equipes internas ou prestadores de serviço externos. Só depois disso faz sentido abrir um programa de caça a vulnerabilidades.
