Por Joe Tidy
Publicado na BBC News
Hackers ganharam um recorde de US$ 40 milhões (R$ 228 milhões) em 2020 por relatar vulnerabilidades de softwares por meio de um serviço de recompensa por relatórios de bugs.
A HackerOne disse que nove hackers ganharam mais de US$ 1 milhão (R$ 5,7 milhões) cada após sinalizar suas descobertas para as organizações afetadas.
Um romeno, que começou a caçar bugs há apenas dois anos, viu seus ganhos totais chegarem a US$ 2 milhões (R$ 11,4 milhões). O hacker mais lucrativo do Reino Unido ganhou US$ 370.000 (R$ 2,11 milhões) no ano passado.
A plataforma sugeriu que a pandemia deu aos voluntários mais tempo para prosseguir com o empreendimento.
Uma pesquisa que a HackerOne encomendou indicou que 38% dos participantes passaram mais tempo hackeando desde o início do surto de COVID-19.
Literalmente tremendo
Muitos dos envolvidos trabalham meio período e estão baseados em dezenas de países diferentes, incluindo os EUA, Argentina, China, Índia, Nigéria e Egito.
A quantia de dinheiro concedida depende da gravidade da vulnerabilidade e pode variar de menos de $ 140 (800 reais) a quantias muito maiores.
A HackerOne, com sede na Califórnia, cobra uma taxa de assinatura das empresas pelo uso de sua plataforma.
A caçadora de recompensas britânica Katie Paxton-Fear, professora da Universidade Metropolitana de Manchester, diz que procura por bugs em seu tempo livre.
Embora o dinheiro seja bom, ela diz que não é uma atividade para enriquecimento rápido.
“Ganhei cerca de £ 12.000 [R$ 94 mil] em 12 meses”, disse ela à BBC.
“Lembro-me de encontrar meu primeiro bug e literalmente tremer e perceber: ‘Uau, acabei de salvar as pessoas de uma grande vulnerabilidade.’
“Não estou apenas usando meu tempo para ganhar um prêmio, estou ajudando ativamente os aplicativos seguros que uso, então, para mim, é um desafio misturado com fazer algo bom”.
Ceticismo diante dos programas de recompensa
Os programas comerciais de recompensa por bugs cresceram em popularidade nos últimos cinco anos, mas alguns especialistas acreditam que ainda haverá vulnerabilidades no sistema se dependerem deles demais.
O pesquisador de segurança Victor Gevers, que dirige a Fundação GDI de divulgação responsável na Holanda, disse que nunca aceitou dinheiro pelos bugs que encontrou.
“Não participamos da recompensa por bugs porque às vezes eles são muito limitados em seu escopo e só dão aos pesquisadores permissão para procurar vulnerabilidades em certas partes de seus sistemas”, disse ele.
“Queremos ser capazes de pesquisar vulnerabilidades de maneira ética onde pensamos que elas estão. E queremos manter nossa independência”.
“Mas, para pesquisadores iniciantes ou estudantes de segurança, essas plataformas comerciais de recompensa por bugs são ótimas, pois oferecem muita proteção, recursos e são um lugar perfeito para começar”.