Hackers ganham milhões legalmente

Hackers ganham milhões legalmente. Hackers Éticos que buscam falhas em sistemas para receberem prêmios das empresas.

Certo dia, no verão de 2016, Pranav Hivarekar, um hacker profissional, iniciou uma missão para encontrar falhas no recurso mais recente do Facebook. O gigante das redes sociais havia anunciado, apenas oito horas antes, que permitiria que os usuários comentassem nas postagens usando vídeos.

Pranav começou a hackear o sistema para detectar pontos fracos ou qualquer erro que criminosos pudessem explorar para invadir a rede de uma empresa e roubar dados.

E aqui está o que ele encontrou: o código tinha falhas que poderiam ser usadas para excluir qualquer vídeo do Facebook.

“Descobri que era possível explorar o código e até excluir um vídeo enviado por Mark Zuckerberg, se quisesse“, disse Pranav, um hacker ético da cidade indiana de Pune, à BBC.

Ele relatou o erro — ou bug, como os hackers costumam chamar — ao Facebook por meio de seu programa de “recompensa de bugs“. Duas semanas depois, ele foi recompensado com uma quantia de cinco dígitos em dólares.

Hackers Éticos ou Caçadores de Bug

O termo Hacker é comumente associado a indivíduos que praticam o crime cibernético, e por isto aqui mesmo no Blog Minuto da Segurança temos adotado este termo referindo-se a atores do crime cibernético. Porém, diferentemente do que muitas pessoas podem pensar, quem utiliza os seus conhecimentos de informática para coletar informações, descobrir senhas de acesso a redes e quebrar códigos de segurança em benefício próprio, não são os hackers. Os responsáveis por tais práticas criminosas, na verdade, são os crackers.

Embora esse segundo nome não seja tão difundido quanto o primeiro, ele é o correto para se utilizar ao designar alguém que contraria a lei e age sempre em benefício próprio ao cometer delitos virtuais. Os crackers costumam quebrar códigos de seguranças de programas, o que faz com que eles se tornem “crackeados”. Já o termo “crack” é usado para se referir a alguma ferramenta (como aplicativos, links e programas) utilizada por crackers para obter acesso a chaves de registro e licenças de produtos pagos.

Os hackers dificilmente agem somente por benefício próprio. Quando invadem algum programa ou obtém alguma chave de segurança, eles sempre o fazem para trazer alguma informação que pode servir como conhecimento ou auxílio a terceiros, além de alertar empresas sobre vulnerabilidades em seus produtos. Embora a prática também seja um crime, caso não seja autorizada, e os hackers sejam vistos como os únicos vilões da Internet, dificilmente eles terão como propósito a simples destruição do trabalho de outra pessoa ou a prática de pirataria ou crimes cibernéticos.

Por isto, para diferenciar os criminosos comumente (e erroneamente) chamados Hacker, adotamos na comunidade chamar de Hackers Éticos aqueles que praticam o hackeísmo legalmente em prol da empresa “contratante” ou “pagante”. Assim, alguns hackers éticos estão ganhando muito dinheiro e essa indústria está crescendo.

Hackers Éticos que buscam falhas em sistemas para receberem prêmios das empresas, são também chamados de Caçadores de Bugs e são geralmente jovens — mais de dois terços deles têm entre 18 e 29 anos, de acordo com estimativas da indústria.

Eles são recompensados em dinheiro por um número crescente de grandes empresas por encontrar brechas no código da web antes que os bandidos o façam.

Encontrar uma falha desconhecida é muito raro e pode levar a pagamentos significativos, talvez até centenas de milhares de dólares – um grande incentivo para “hackers éticos de elite” ou “chapéu branco” (white hat), como também são conhecidos.

“As recompensas são minha única fonte de renda“, diz Shivam Vashisht, um hacker ético do norte da Índia que ganhou mais de US$ 125 mil (cerca de R$ 530 mil) em 2019.

“Invadir legalmente as maiores empresas do mundo e ser pago por isso é divertido e desafiador.”

É um campo que não requer educação formal ou experiência para ter sucesso. Shivam, como muitos outros, diz que aprendeu o processo através de pesquisas e blogs online. “Passei muitas noites sem dormir aprendendo como hackear e todo o processo de ataque de sistemas. Eu inclusive desisti da universidade no segundo ano.“

Agora ele transformou seu desejo insaciável de encontrar falhas no código em uma carreira lucrativa, como Jesse Kinser, uma hacker americana. “Meu interesse por hackers decolou na faculdade quando comecei a fazer muita pesquisa independente sobre invasões de dispositivos móveis e forense digital“, explicou ela por e-mail. “Durante um projeto, identifiquei uma maneira de introduzir aplicativos maliciosos na loja de aplicativos Android sem detecção.“

Muito dinheiro

Especialistas dizem que os programas de recompensas por bugs desempenham um papel importante para mantê-los motivados. “Estes programas fornecem uma alternativa legal para indivíduos com grande conhecimento em tecnologia que, se não a tivessem, poderiam estar inclinados às atividades nefastas de invadir sistemas e vender seus dados ilegalmente“, diz Terry Ray, chefe de tecnologia da empresa de segurança de dados Imperva.

Em 2018, hackers dos EUA e da Índia reivindicaram a maior parte das recompensas do mundo, de acordo com a empresa de segurança cibernética HackerOne.

Alguns deles podem ganhar mais de US$ 350 mil (cerca de R$ 1,5 milhão) por ano.

Segundo a BBC, Sandeep Singh, agora amplamente conhecido como ‘geekboy’ no mundo dos hackers, diz que isso envolve muito trabalho duro. “Levei seis meses e 54 requisições para registrar meu primeiro relatório válido e ganhar uma recompensa“.

Aumentando a segurança

Diversas empresas estão executando os programas de recompensas de bugs em nome de grandes organizações e até governos. Elas atuam como agentes de hackers éticos, verificando o trabalho realizado e garantindo a confidencialidade dos clientes.

“Grandes recompensas por bugs não são novas na indústria de tecnologia, mas elas estão aumentando como um passo natural no fortalecimento da postura de segurança de uma empresa“, diz Ben Sadeghipour da HackOne

As companhias entendem que o risco de não agir para encontrar essas vulnerabilidades pode levar a um possível ataque hacker, resultando em dados roubados, perda financeira e reputação prejudicada. “Nos últimos anos, os ataques cibernéticos aumentaram mais de 80% a cada ano, mas há um número limitado de talentos em segurança“, de acordo com a empresa de segurança cibernética Synack.

Lei de privacidade de dados como a LGPD e a GDPR tem impulsionado este mercado de forma significativa nos últimos anos devidos as grandes ultas potenciais que as empresas podem sofrer caso ocorra um vazamento de dados, ou seja, é mais barato e reputacionalmente muito melhor, pagar o hacker ético que pagar uma multa devido a um vazamento de dados.

Programas de recompensas públicos x privados

A prática do hacker ético é uma linha tênue entre o legal e o ilegal. Considero isto igual a diferença entre um policial e um bandido armado, a diferença entre os dois é o que eles fazem a arma que possuem em mãos. Um exemplo disto é a o caso relatado pela Synack, onde um “um hacker invadiu o guia global de restaurantes Zomato em 2017 e ameaçou vender os dados de 17 milhões de usuários em um mercado da dark web, a menos que a empresa lançasse um programa de recompensas por bugs“.

A Zomato escreveu um texto em um blog admitindo que “uma parte da nossa infraestrutura… foi invadida por um hacker ético“. A empresa cedeu às demandas do invasor e prometeu lançar um programa de recompensas por bugs, e o hacker destruiu os dados.

A pratica descrita confunde-se entre a legalidade de um hacker ético e de um criminoso, pois assemelha-se a prática de extorsão.

Especialistas aconselham que as empresas devem ter uma série de outras defesas bem administradas, muito antes de pensarem em deixar os caçadores de recompensas farejarem seus sistemas, ou ao menos de incentivar este processo (pois a vasculha dos sistemas é impossível impedir).

“As recompensas devem ser o fim do processo, não o começo“, diz Ian Glover, chefe da organização Crest, que certifica as habilidades dos testadores de segurança éticos no Reino Unido.

As empresas de segurança cibernética dizem que podem oferecer testes mais controlados por meio de hackers confiáveis, pois para os hackers, torna-se uma maneira mais fácil de relatar os erros, pois muitos sites ou aplicativos não possuem uma estrutura formal de relatório de erros, além de um endereço de e-mail de administrador genérico.

“As empresas de recompensas de bugs ajudam a obter os relatórios de erros na frente das pessoas certas“, diz o testador de segurança Robbie Wiggins.

Realidade

A BBC conclui que, seja público ou privado, o espaço de recompensa está ficando lotado. E nem todo mundo está ganhando muito. Algumas pessoas fizeram muito dinheiro, mas a maioria não.

A indústria de hacker éticos também enfrenta outro problema evidente: desequilíbrio de gênero. “A segurança cibernética tem sido historicamente um campo dominado por homens, portanto, não é de surpreender que no ano passado apenas 4% da comunidade global de hackers fosse composta por mulheres“, diz Casey Ellis, da Bug Crowd.

A empresa, junto com outras gigantes do setor, diz que está lançando várias iniciativas para incentivar mais mulheres a se unirem a elas na busca de tornar a internet um lugar mais seguro. Mas muito precisa mudar, “Este é o resultado de valorizar o trabalho das mulheres menos do que dos homens, e é um problema endêmico“, disse Jesse Kinser certa vez a Mashable durante uma entrevista.

“Então, vejo isso como uma questão social. Não se trata de atrair mais mulheres interessadas em tecnologia, já somos e nascemos prontas.“

À medida que as demandas por uma internet mais segura aumentam, ela espera que mais mulheres se juntem e encontrem apoio na comunidade de hackers. E ela acha que até pequenas mudanças são benéficas, “Tudo, independentemente do tamanho, segue num momento positivo e na direção certa“, diz ela.

Fonte: BBC

Veja também: