A empresa Esi Cibersecurity lançou dia 4 de Março a primeira plataforma de bug bounty do Brasil, a BugHunt, nos moldes da Hacker One
A semana passada terminou com três boas notícias na área de bug bounty. A primeira é que o pesquisador indiano Amol Baikar ganhou US$ 55 mil do Facebook por descobrir vulnerabilidade no recurso “Login com Facebook”. A segunda, que o pesquisador holandês Wouter ter Maat ganhou o prêmio inaugural de US$ 100 mil do programa de bug bounty do Google Cloud Platform, provando que se pode ter acesso ao Cloud Shell de outro usuário. A terceira que a empresa Esi Cibersecurity lançou dia 4 de Março a primeira plataforma de bug bounty do Brasil, a BugHunt (www.bughunt.com.br).
A iniciativa partiu dos sócios da Esi, os irmãos e engenheiros de software Bruno e Caio Telles, que junto com o desenvolvedor Pablo Souza decidiram criar no Brasil uma plataforma semelhante ao Hacker One – a mais conhecida plataforma de bug bounty do mundo. Fundada em 2012, a Hacker One se tornou uma grande organizadora de bug bounties que hoje vale perto de US$ 500 milhões.
O que é bug bounty
Para quem não está familiarizado com o termo: bug bounty é um programa de premiação mantido por empresas como Facebook e Google, por exemplo, para premiar pesquisadores e desenvolvedores que descobrem vulnerabilidades nas suas aplicações. A Netscape foi a primeira a lançar um programa de recompensas para localização de bugs em 1995, com um fundo de US $ 50.000. O projeto era ajudar a identificar vulnerabilidades no então recém-lançado Netscape Navigator 2. Como nem todas as empresas têm verbas desse tamanho, a Hacker One explorou a possibilidade de que empresas pequenas e médias pudessem abrir programas de valores menores utilizando a plataforma.
Bruno e Caio, agora com respectivamente 32 e 30 anos, sabem que estão trazendo uma novidade para o mercado brasileiro. O interesse pelos programas de bug bounty nasceu enquanto atendiam clientes por meio da Esi Cibersecurity, empresa fundada pelos irmãos que oferece consultoria em segurança e serviços como avaliação e mapeamento de dados para atendimento das exigências da LGPD, pentest e avaliação de segurança para a certificação ISO 27000.
Bruno conta que sua participação e a de Caio em programas de bug bounty mostou que empresas de todos os tamanhos precisavam de pentest, mas só as grandes conseguiam contratar esse serviço. Segundo ele, os valores para um pentest variam conforme o escopo contratado pelo cliente e conforme o a extensão do serviço.
“Na plataforma a empresa pode definir o escopo que quiser”, diz Caio. “A gente sabe que para o hacker dinheiro é importante, mas sabemos que o reconhecimento também é. Até um brinde é importante. Quando as empresas reconhecem o trabalho podem mandar até uma camiseta, que ajuda o cara a conserguir reconhecimento e quem sabe um aumento de salário onde ele trabalha”, completa.
Para pequenas e médias empresas, abrir um bug bounty na BugHunt custará bem menos do que contratar um pentest, observa Bruno: “Supondo que uma empresa contrate um trabalho de pentest que vai durar um mês, ao final desse prazo ela receberá um relatório que pode conter vulnerabilidades ou nao. A empresa pagará pelo serviço mesmo que a equipe não encontre nada. Mas se abrir um programa na BugHunt, pode estipular por exemplo que pagará R$ 1.000 por vulnerabilidade grave, e valores menores ou brindes para as menores. Brindes que podem ser adedivos, camisetas… É mais efetivo do que contratar uma empresa, porque vai ter gente de todo lado buscando vulnerabilidades”, completa Bruno.
A empresas poderão abrir programas em duas modalidades: pública e privada. Na primeira, o programa estará exposto para qualquer participante da plataforma – a participação é gratuita. Na segunda, há um custo de participação porque a empresa pode escolher profissionais na lista dos dez melhores hackers da BugHunt, e pode contar com a consultoria da Esi Cibersecurity. “Isso vai auxiliar empresas que têm carência de mão de obra”, observa Caio. A expectativa dele é que de 80 a 90% das empresas prefiram a modalidade pública.
Nenhum dos sócios arrisca por enquanto uma estimativa de faturamento para o empreendimento. “Mais do que lucro, o que queremos inicialmente é democratizar a segurança”, finaliza Bruno.
