Pelo menos 350 erros de uso de código e de configuração nas aplicações de clientes já foram descobertos pelos cerca de 2 mil especialistas cadastrados na BugHunt, a primeira plataforma de bug bounty do Brasil. Lançada em 4 de março pela empresa Esi Cibersecurity. Dirigida pelos engenheiros de software Bruno e Caio Telles, a plataforma já apresenta segundo eles resultados animadores: embora não possam identificar nenhum, contam atualmente com clientes de grande porte nas áreas de varejo, telecomunicações, finanças e saúde, por exemplo, atraídos pela possibilidade de descobrir vulnerabilidades em seus aplicativos expostos na web.
Vários clientes, segundo Caio, tinham a necessidade – e a disposição – de receber notificações sobre vulnerabilidades em suas aplicações mas não dispunham de uma estratégia. Outros queriam descobrir, antes da vigência da LGPD, a possibilidade de estarem expondo informações de identificação pessoal. Outros, ainda, tinham dúvidas se estavam ou não expondo dados sensíveis. E alguns expunham dados argumentando que isso fazia parte das regras de negócio – até se darem conta de que para a LGPD isso é ilegal.
Para os sócios, a evolução da plataforma como negócio nestes seis primeiros meses foi satisfatória. Bruno conta que o equilíbrio financeiro ainda não foi atingido, mas acha que isso não deve demorar. Entre outras razões, porque já existem receitas recorrentes e porque a plataforma tem sido divulgada pelos próprios clientes. Nos meses de pandemia, eles contam que houve um aumento no interesse por programas de bug bounty tanto por especialistas quanto por empresas: “As empresas ficaram interessadas porque foram forçadas a operar online, o que trouxe a necessidade de identificar e tratar bugs nos sistemas. Já os especialistas enxergaram esse momento como uma possibilidade de aumentar o conhecimento na área de segurança, complementar a renda e utilizar uma plataforma nacional de recompensas”, explica Bruno.
Um dos atrativos da plataforma, especialmente para clientes que têm sua sede fora do Brasil, é o valor que eles têm de pagar aos especialistas. Caio e Bruno contam que uma plataforma com base nos EUA pediu a um dos clientes da BugHunt perto de US$ 50 mil apenas para montar o ambiente para a demonstração de uma prova de conceito. “A desvalorização do real contou muito para esses clientes optarem pela nossa plataforma. No nosso caso, temos a condição de preparar essa prova de conceito e a despesa do cliente será apenas com os prêmios que eles pagam aos especialistas”, detalha.
Com planos de expansão, a plataforma da BugHunt tem registrado cerca de 300 novos especialistas a cada mês. Segundo Caio, investir na comunidade e disponibilizar os pesquisadores para trabalharem no setor é algo que gera valor para as instituições e para o mercado de segurança da informação.