Na pandemia, hackers éticos ficam milionários procurando vulnerabilidades de softwares

0
136
A HackerOne organiza eventos regulares que reúnem seus hackers. (Créditos: HackerOne)

Traduzido por Julio Batista
Original de Joe Tidy para a BBC News

Hackers ganharam um recorde de $ 40 milhões (R$ 228 milhões) em 2020 por relatar vulnerabilidades de software por meio de um serviço de recompensa por relatórios de bugs.

A HackerOne disse que nove hackers ganharam mais de US$ 1 milhão (R$ 5,7 milhões) cada após sinalizar suas descobertas para as organizações afetadas.

Um romeno, que começou a caçar bugs há apenas dois anos, viu seus ganhos totais chegarem a US$ 2 milhões (R$ 11,4 milhões). O hacker mais lucrativo do Reino Unido ganhou US$ 370.000 (R$ 2,11 milhões) no ano passado.

A plataforma sugeriu que a pandemia deu aos voluntários mais tempo para prosseguir com o empreendimento.

Uma pesquisa que a HackerOne encomendou indicou que 38% dos participantes passaram mais tempo hackeando desde o início do surto de COVID-19.

‘Literalmente tremendo’

Muitos dos envolvidos trabalham meio período e estão baseados em dezenas de países diferentes, incluindo os EUA, Argentina, China, Índia, Nigéria e Egito.

A palestrante Katie Paxton-Fear é uma caçadora de recompensas por bugs em seu tempo livre. (Créditos: BBC News)

A quantia de dinheiro concedida depende da gravidade da vulnerabilidade e pode variar de menos de $ 140 (800 reais) a quantias muito maiores.

A HackerOne, com sede na Califórnia, cobra uma taxa de assinatura das empresas pelo uso de sua plataforma.

A caçadora de recompensas britânica Katie Paxton-Fear, professora da Universidade Metropolitana de Manchester, diz que procura por bugs em seu tempo livre.

Embora o dinheiro seja bom, ela diz que não é uma atividade para enriquecimento rápido.

“Ganhei cerca de £ 12.000 [R$ 94 mil] em 12 meses”, disse ela à BBC.

“Lembro-me de encontrar meu primeiro bug e literalmente tremer e perceber: ‘Uau, acabei de salvar as pessoas de uma grande vulnerabilidade.’

“Não estou apenas usando meu tempo para ganhar um prêmio, estou ajudando ativamente os aplicativos seguros que uso, então, para mim, é um desafio misturado com fazer algo bom.”

O hacker milionário argentino de 19 anos Santiago Lopez foi o primeiro hacker da HackerOne a ganhar $ 1 milhão (R$ 5,7 milhões). (Créditos: HackerOne)

Ceticismo diante dos programas de recompensa

Os programas comerciais de recompensa por bugs cresceram em popularidade nos últimos cinco anos, mas alguns especialistas acreditam que ainda haverá vulnerabilidades no sistema se dependerem deles demais.

O pesquisador de segurança Victor Gevers, que dirige a Fundação GDI de divulgação responsável na Holanda, disse que nunca aceitou dinheiro pelos bugs que encontrou.

“Não participamos da recompensa por bugs porque às vezes eles são muito limitados em seu escopo e só dão aos pesquisadores permissão para procurar vulnerabilidades em certas partes de seus sistemas”, disse ele.

“Queremos ser capazes de pesquisar vulnerabilidades de maneira ética onde pensamos que elas estão. E queremos manter nossa independência.”

“Mas, para pesquisadores iniciantes ou estudantes de segurança, essas plataformas comerciais de recompensa por bugs são ótimas, pois oferecem muita proteção, recursos e são um lugar perfeito para começar.”