Segurança da InformaçãoÚltimas Notícias

Hackers do bem são recompensando por Startup Brasileira

Ana CostacurtaAna Costacurta

A Startup BugHunt, afirma ser a primeira especializada em bug bounty do mercado brasileiro, a empresa criou uma plataforma para que as empresas cadastrem programas de caça bugs, onde os e profissionais (hackers do bem) podem se cadastrar para participar dos programas.

O que é Bug Bounty?

O termo bug bounty é um programa de premiação mantido por empresas  para premiar pesquisadores e desenvolvedores que descobrem vulnerabilidades nas suas aplicações.

Como funciona?

  1. Cria o Programa:  define o tipo e as regras do programa de recompensa. Por exemplo, o escopo que precisa proteger seu website ou aplicativo móvel, e a recompensa que deseja pagar.
  2. Publique o programa: Publica o programa de recompensa para que os especialistas possam encontra-lo. A plataforma BugHunt também recomenda aos especialistas a participação no seu programa.
  3. Recompensa: O primeiro especialista a encontrar uma falha é recompensado por encontrar o problema, corrigir a vulnerabilidade e verificar se a brecha de segurança foi fechada.

Qual o ciclo do bug bounty?

  1. Identificação da Vulnerabilidade: Nessa etapa o especialista lerá as regras do programa e identificará as vulnerabilidades
  2. Envio do Relatório: O especialista enviará um relatório detalhando a vulnerabilidade encontrada.
  3. Validação pela Empresa: A empresa receberá o relatório, avaliará a vulnerabilidade identificada e deverá aceita-lo ou reprova-lo.
  4. Recompensa: Caso o relatório esteja de acordo com as regras do programa, a empresa recompensará o especialista.

Dicas para quem está dando os primeiros passos em programas de bug bounty

  • Comece com um tipo de vulnerabilidade, caso não tenha experiências com esses tipos de programa de recompensa. 
  • No principio não será vantajoso financeiramente, porem você poderá aprender e aproveitar a atividade.
  • Reporte corretamente caso tenha  descoberto uma vulnerabilidade e com indicação do passo a passo como a vulnerabilidade pode ser reproduzida e que expliquem como o atacante pode se aproveitar da falha, considerando que essas informações influenciam os resultados a serem levados em consideração.
  • Se descobriu uma vulnerabilidade, o ideal é tentar ver todos os caminhos que a falha pode abrir para um atacante. Pesquisar todas as possibilidades aumenta as chances de conseguirmos convencer a empresa sobre as possíveis consequências do problema.
  • O ideal é evitar frustrações e começar por onde outros ainda não tenham observado.
  • A única maneira de progredir no mundo Bug Bounty é gastando tempo. É necessário praticar, ler relatórios que outras pessoas prepararam e estudar as diferentes metodologias. De acordo com um dos relatórios do HackerOne, 81% dos caçadores que participam desses programas disseram ter aprendido sozinhos na Internet, enquanto apenas 6% disseram ter feito um curso formal.
Post Anterior
Próximo Post
Ana Costacurta
Cientista da Computação e Especialista em Segurança da Informação

Leave a reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Mais em Segurança da Informação