A Google repassou no ano passado um total de US$ 11,8 milhões (aproximadamente R$ 70 milhões, em conversão direta de moeda e na cotação atual do dólar) a “caçadores de bugs”. A companhia revelou detalhes do Vulnerability Reward Program ao longo de 2024, incluindo detalhes de vulnerabilidades que só foram corrigidas graças aos esforços da comunidade.
Segundo o levantamento da empresa, 660 pesquisadores e especialistas em cibersegurança foram recompensados por denúncias bem sucedidas, que resultaram em correções de proteção ou privacidade nos produtos e serviços da Google. O valor total ficou próximo do recorde do programa, que é de US$ 12 milhões atingido em 2022. O ano é também o líder em pessoas bonificadas: 703 pesquisadores.
De acordo com a companhia, o resultado tem um significado importante: menos pessoas fizeram denúncias, mas esse grupo é mais seleto e encontrou mais falhas críticas, o que significa que ela corrigiu problemas graves em uma escala superior do que em anos anteriores.
A Google fez mudanças no regulamento do programa de recompensas para 2024, aumentando a premiação para a descoberta de falhas críticas nos segmentos de dispositivos móveis, nuvem e navegador Google Chrome. Além disso, ela também incentivou a descoberta de vulnerabilidades em duas plataformas específicas: o Android Automotive OS, para carros, e WearOS, de dispositivos vestíveis como relógios inteligentes.
De todas as áreas, a que gerou o maior pagamento foi o próprio Chrome, com US$ 3,4 milhões (R$ 19,8 milhões) distribuídos ao todo. Já o recorde individual foi uma vulnerabilidade no MiraclePtr, uma implementação recente que protege o navegador em áreas críticas da memória. Ela rendeu a uma só pessoa o equivalente a US$ 100,1 mil (ou cerca de R$ 584 mil).
O que é o programa de recompensas?
O que a Google chama de Vulnerability Reward Program é um programa de recompensa para a comunidade que bonifica em dinheiro quem encontra e denuncia falhas de segurança em serviços ou produtos. Tanto veteranos em cibersegurança quanto entusiastas que não atuam profissionalmente na área podem participar, desde que sigam as regras estabelecidas pela empresa.
Além da Google, outras companhias, como Meta (dona de Instagram, Facebook e WhatsApp), Intel e Microsoft também mantêm programas parecidos com promessa de valores mais altos. Porém, empreendimentos de qualquer setor e tamanho podem estabelecer esse tipo de plataforma para receber denúncias de falhas no sistema e bonificar os responsáveis pelo achado.
Esse tipo de prática é tido como importante para que testes externos detectem vulnerabilidades às vezes críticas que as equipes internas possam ter deixado passar, além de estabelecer uma maior conexão da empresa com os usuários. O incentivo atrai em especial o chamado hacker ético, tipo de especialista em sistemas de proteção digital que ajuda a encontrar essas brechas em empresas de todos os tamanhos.
Como posso entrar no mundo do bug bounty?
Normalmente, o caçador de bugs precisa ser uma pessoa não apenas atenta e curiosa a ponto de encontrar falhas e inconsistências em códigos e serviços. Essa pessoa também precisa ser uma desenvolvedora de qualidade, com conhecimentos avançados em áreas específicas, incluindo linguagens de programação ou ambientes.
Interessados nesse tipo de atividade podem procurar os programas de empresas, como os já citados casos de Google e Meta, que anualmente lançam novas modalidades de denúncias e pagamentos. Há também uma série de programas privados e até públicos que convocam hackers éticos para testar ao máximo a proteção de sistemas.
Entre os nomes mais populares do setor, a HackerOne é uma plataforma de cibersegurança com um cadastro aberto de pesquisadores e ofertas de bug bounty de outras empresas para interessados. Outro nome popular é a Bugcrowd, sendo que ambos têm o inglês como idioma principal. No Brasil, é possível também se juntar à plataforma colaborativa de recompensa por bugs BugHunt.
