Hackers éticos ganharam milhões em programas em recompensa.

Hackers éticos ganharam milhões em programas em recompensa. Hackers ganharam um recorde de US$40 milhões (R$ 228 milhões) em 2020 por relatar vulnerabilidades de software por meio de um serviço de recompensa por relatórios de bugs.

A HackerOne disse que nove hackers ganharam mais de US$ 1 milhão (R$ 5,7 milhões) cada após sinalizar suas descobertas para as organizações afetadas.

Um romeno, que começou a caçar bugs há apenas dois anos, viu seus ganhos totais chegarem a US$ 2 milhões (R$ 11,4 milhões). O hacker mais lucrativo do Reino Unido ganhou US$ 370.000 (R$ 2,11 milhões) no ano passado.

A plataforma sugeriu que a pandemia deu aos voluntários mais tempo para prosseguir com o empreendimento.

Uma pesquisa que a HackerOne encomendou indicou que 38% dos participantes passaram mais tempo hackeando desde o início do surto de COVID-19.

Muitos dos envolvidos trabalham meio período e estão baseados em dezenas de países diferentes, incluindo os EUA, Argentina, China, Índia, Nigéria e Egito.

A quantia de dinheiro concedida depende da gravidade da vulnerabilidade e pode variar de menos de US$ 140 (800 reais) a quantias muito maiores.

A HackerOne, com sede na Califórnia, cobra uma taxa de assinatura das empresas pelo uso de sua plataforma.

A caçadora de recompensas britânica Katie Paxton-Fear, professora da Universidade Metropolitana de Manchester, diz que procura por bugs em seu tempo livre.

Embora o dinheiro seja bom, ela diz que não é uma atividade para enriquecimento rápido “Ganhei cerca de £ 12.000 [R$ 94 mil] em 12 meses”, disse ela à BBC.

Lembro-me de encontrar meu primeiro bug e literalmente tremer e perceber: ‘Uau, acabei de salvar as pessoas de uma grande vulnerabilidade.’”

Não estou apenas usando meu tempo para ganhar um prêmio, estou ajudando ativamente os aplicativos seguros que uso, então, para mim, é um desafio misturado com fazer algo bom.

Ceticismo diante dos programas de recompensa

Os programas comerciais de recompensa por bugs cresceram em popularidade nos últimos cinco anos, mas alguns especialistas acreditam que ainda haverá vulnerabilidades no sistema se dependerem deles demais.

O pesquisador de segurança Victor Gevers, que dirige a Fundação GDI de divulgação responsável na Holanda, disse que nunca aceitou dinheiro pelos bugs que encontrou.

Não participamos da recompensa por bugs porque às vezes eles são muito limitados em seu escopo e só dão aos pesquisadores permissão para procurar vulnerabilidades em certas partes de seus sistemas”, disse ele.

Queremos ser capazes de pesquisar vulnerabilidades de maneira ética onde pensamos que elas estão. E queremos manter nossa independência.

Mas, para pesquisadores iniciantes ou estudantes de segurança, essas plataformas comerciais de recompensa por bugs são ótimas, pois oferecem muita proteção, recursos e são um lugar perfeito para começar.”

Bug Bounty

Dentro de um ambiente corporativo, a realização de testes de penetração é uma prática usada para auditar a segurança dos aplicativos e da rede. Embora esses tipos de atividades geralmente sejam realizados no âmbito de um emprego em um relacionamento de dependência ou consultoria e com a assinatura de um contrato há muito anos, e com mais e mais frequência, é comum que as empresas publiquem programas de recompensa, mais conhecidos como Bug Bounty, através de plataformas como HackerOne ou BugCrowd, entre outras.

Por meio dessas plataformas, as empresas interessadas em auditar seus serviços conseguem se conectar com hackers éticos de qualquer lugar do planeta, dispostos a testar a segurança de serviços. Qualquer pessoa pode se inscrever e participar desses programas de Bug Bounty, como um hobby ou como uma atividade lucrativa. As empresas, quando abrem seus programas, detalham o escopo dessa atividade e definem prêmios diferentes para quem encontrar falhas, geralmente de acordo com o nível de gravidade de cada uma delas.

O pagamento médio para vulnerabilidades críticas em 2018 foi de US$ 3.384, com um aumento de 48% em relação ao ano anterior. Neste cenário, o portal HackerOne desembolsou, em 2018,  um total de US$ 19 milhões aos seus membros para o pagamento de recompensas. Embora, além do fator econômico, exista uma motivação para aprender e pelos próprios desafios, de acordo com dados de uma pesquisa realizada pelo HackerOne em 2018, os hackers éticos que estão principalmente envolvidos em programas de bug bounty conseguem obter até 2,7 vezes mais dinheiro do que o salário de um engenheiro de software em tempo integral. De fato, no início de 2019, um jovem argentino de 19 anos se tornou a primeira pessoa a ganhar mais de um milhão de dólares através do HackerOne.

No entanto o HackerOne alerta que “ocasionalmente, você pode descobrir algo que não é uma vulnerabilidade, mas faremos alterações de código apropriadas para fortalecimento ou para implementar algumas das melhores práticas. Nessas situações, quando o HackerOne decidir fazer uma mudança, resolveremos o relatório dando crédito ao repórter, mas não concederemos uma recompensa. Caso não haja alteração, nossa prática será encerrar como Informativo.

Dicas para quem está dando os primeiros passos em programas de bug bounty

  • Pouco a pouco: Se você não tem experiência com esses programas, pode ser uma boa ideia começar com um único tipo de vulnerabilidade, por exemplo, XSS, incorporando novas habilidades. É importante encontrar uma vulnerabilidade que realmente seja do seu interesse. 
  • Não pense apenas em dinheiro: Muito provavelmente, não será possível ganhar dinheiro a princípio. Se você tiver isso em conta, poderá perder alguns detalhes importantes e não gastar tempo para fazer as coisas da melhor maneira. O ideal é poder dedicar tempo suficiente para aprender e aproveitar a atividade.
  • Prepare relatórios claros: Se você descobriu uma vulnerabilidade, é importante que saiba como reportá-la corretamente. Algo com o qual as pessoas de ambos os lados concordam (bug hunters e empresas) é sobre a importância de produzir relatórios claros, que indiquem passo a passo como a vulnerabilidade pode ser reproduzida e que expliquem como o atacante pode se aproveitar da falha, considerando que essas informações influenciam os resultados a serem levados em consideração.
  • Aproveite o tempo para se aprofundar: Se você descobriu uma vulnerabilidade, o ideal é tentar ver todos os caminhos que a falha pode abrir para um atacante. Por exemplo, se a vulnerabilidade foi introduzida por uma equipe de desenvolvimento de uma determinada empresa, ela pode ser repetida em outros sites. Pesquisar todas as possibilidades aumenta as chances de conseguirmos convencer a empresa sobre as possíveis consequências do problema.
  • Siga a rota menos usada: Se você está apenas começando no mundo Bug Bounty, é improvável que encontre vulnerabilidades em grandes aplicativos corporativos, que certamente já passaram por vários estágios de pentesting e que já foram submetidos à auditoria de muitos outros caçadores de bugs. O ideal é evitar frustrações e começar por onde outros ainda não tenham observado.
  • Estude e prátique: A única maneira de progredir no mundo Bug Bounty é gastando tempo. É necessário praticar, ler relatórios que outras pessoas prepararam e estudar as diferentes metodologias. Felizmente, existem muitas pessoas na comunidade que estão dispostas a compartilhar o que sabem e isso é algo que você definitivamente deve aproveitar. De acordo com um dos relatórios do HackerOne de 2019, 81% dos caçadores que participam desses programas disseram ter aprendido sozinhos na Internet, enquanto apenas 6% disseram ter feito um curso formal.

Realizar bug bounties pode ser uma experiência de aprendizado muito importante. Ver vulnerabilidades em aplicativos reais nos dará uma ideia de quais são os erros comuns que os desenvolvedores de software cometem. Pouco a pouco, forçará você a aprender sobre novas tecnologias com as quais talvez nunca tivesse lidado antes, expandindo sua base de conhecimento. Se você é um pentester, isso lhe dará uma nova perspectiva que será útil para o seu trabalho

Fonte: Universo Racionalista & We Live Security & HackerOne

Veja também:

 

 

About mindsecblog 1279 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Comment

  1. Muito bom!
    Artigo bem feito, contextualizado e informativo, parabéns aos envolvidos, eu estava mesmo atrás de ajuda quanto ao Bug Bounty pois pretendo começar e precisava de informações sobre.

1 Trackback / Pingback

  1. FBI e CISA alertam sobre APT explorando falha no Fortinet

Deixe sua opinião!