Primeira plataforma brasileira de Bug Bounty, a BugHunt revelou que a maioria dos bughunters, profissionais de tecnologia também conhecidos como hackers do bem, veem o trabalho de busca de vulnerabilidades virtuais como uma oportunidade para obter renda extra e ainda desenvolver suas habilidades como especialista em cibersegurança.
Os dados são frutos do Raio X dos Bughunters, uma pesquisa própria, e a primeira com especialistas do setor no Brasil, que contou com a participação de 12 mil profissionais da área. O levantamento mostra que 78,3% desses hackers éticos atuam visando a rentabilidade financeira, enquanto o desenvolvimento profissional apresenta números bem próximos, sendo indicada como motivação por 65% dos entrevistados. A terceira justificativa mais citada foi a criação de uma rede forte de networking, aparecendo entre 26,75% dos profissionais.
“O alto número de pessoas colocando o desenvolvimento profissional como motivação para esse trabalho demonstra não só uma classe de profissionais engajados, mas também como os hackers do bem são valorizados no mercado, já que o setor reconhece a importância de combater essas falhas e possíveis brechas virtuais”, avalia Caio Telles, co-fundador e CEO da BugHunt.
Além de explorar as motivações por trás do ofício desses hackers do bem, o Raio X dos Bughunters ainda traçou um perfil mais detalhado sobre estes profissionais. De acordo com a pesquisa, 48,3% dos profissionais contam com formação em segurança da informação, enquanto 33% são formados em TI. Pensando na faixa etária, a coleta mostrou que a grande maioria entre os hackers são jovens, porém com uma divisão entre gerações quase igualitária entre os especialistas de 17 a 24 anos, com 41,7% dos entrevistados, e 25 a 35 anos, com 40%.
Outro dado identificado pelo estudo mostra que 40% dos bughunters já detectaram bugs em pelo menos cinco empresas distintas. Para Telles, o número alto expõe a fragilidade do cenário brasileiro no que se diz respeito às falhas nos sistemas das companhias nacionais.
A pesquisa coletou ainda informações referentes às principais causas destes problemas, identificando as vulnerabilidades técnicas (aparecendo em 56,7% das vezes), a exposição de dados (presente em 53,3% dos casos) e a injeção de códigos ou scripts (ocorrida em 53,3% das ocasiões), como os bugs mais recorrentes no país.
“A função dos bughunters tem sido cada vez mais necessária no contexto atual e nosso objetivo é contribuir para que esse serviço aconteça da melhor forma possível e tenha o seu valor reconhecido. Por isso decidimos aplicar essa pesquisa, para entender melhor o perfil desses pesquisadores, quais são as suas dores e identificar pontos interessantes de como esse trabalho tem sido feito ultimamente”, explica o CEO da BugHunt.
O Bug Bounty como aliado da segurança da informação
O Bug Bounty é uma ferramenta importante de prevenção aos ciberataques. A prática usa o princípio do crowdsourcing – modelo de produção em que se usa conhecimentos coletivos e voluntários, geralmente recrutados pela internet – na cibersegurança. Os programas reúnem especialistas que realizam testes e buscam vulnerabilidades em sistemas e serviços de uma empresa, em troca de uma recompensa em dinheiro.
Trata-se de uma modalidade de compensação por bugs, oferecida por plataformas como a BugHunt, em que hackers éticos podem receber reconhecimento e retribuição monetária por relatar falhas e vulnerabilidades que colocam em risco a segurança de diversos sistemas. “Esses programas permitem que companhias identifiquem possíveis brechas de forma antecipada, reduzindo os riscos e evitando que seus negócios sejam impactados pela ação de agentes mal-intencionados”, explica Telles.
Segundo o executivo, a remuneração acontece quando o hacker encontra uma falha e a premiação varia de acordo com o impacto que o bug traria à integridade da companhia. Para se ter uma ideia, os programas de Bug Bounty encontram sete vezes mais falhas críticas do que soluções de segurança tradicionais.
A BugHunt, startup fundada em março de 2020 pelos irmãos Caio e Bruno Telles, foi criada com o propósito de unir empresas comprometidas com a segurança da informação e privacidade de seus usuários e/ou clientes a pesquisadores do setor. Com foco em inovação para reconhecimento e resolução de bugs e vulnerabilidades, a startup tem como objetivo democratizar o acesso à segurança de dados.