Para 2022, startup pretende dobrar equipe de colaboradores e aumentar em 150% o número de empresas com programas cadastrados na plataforma

Programa de VDP da BugHunt

Com o crescimento exponencial de ciberataques nos últimos anos, as corporações brasileiras estão mais atentas ao Bug Bounty, programa de recompensas por identificação de falhas, e têm apostado cada vez mais nesta iniciativa. Prova disso é a BugHunt, primeira plataforma brasileira de Bug Bounty, que viu seu faturamento e carteira de clientes crescerem 140% em 2021. Até o fim de 2022, a startup pretende dobrar a equipe e aumentar em 150% o número de empresas participantes.

Hoje, já são mais de 8 mil especialistas cadastrados na plataforma – de todos os estados do Brasil, além de países como EUA, Canadá, Portugal, Inglaterra, Espanha e Índia. Além disso, desde o início da operação da empresa, em março de 2020, mais de 2 mil vulnerabilidades já foram reportadas, com foco para Xss, IDOR, PII (Personally Identifiable Information – PII, em inglês), Vazamento de Chaves (API KEYS) e Open Redirect.

Participam dos programas de recompensas por bugs corporações de diversos segmentos, especialmente empresas de tecnologia como e-commerces, plataformas de criptomoedas, marketplaces, bancos, startups de saúde – diagnóstico e hospitais –, portais de notícias, indústria de bebidas e empresas de telefonia e logística.

“O mercado nacional de cibersegurança está em plena expansão. Queremos democratizar o acesso à segurança da informação e disseminar a cultura do Bug Bounty e da cibersegurança entre as empresas no Brasil”, pontua Caio Telles, CEO da BugHunt. “A tendência é que seja um movimento natural, pois, no exterior, o Bug Bounty já é algo cultural, e acreditamos que, em breve, deverá ser assim no mercado nacional”, ressalta.

Os programas de Bug Bounty

A partir da plataforma, as empresas podem abrir programas em duas modalidades: pública e privada. Na primeira, o programa fica disponível para qualquer participante. Na segunda, a companhia pode escolher profissionais na lista dos melhores hackers. “Nos dois serviços, ajudamos na escolha da definição do escopo e na recompensa. No privado, exclusivamente, auxiliamos na escolha do time de especialistas”, explica Telles.

Os hackers cadastrados identificam bugs em sistemas, aplicativos, websites e dispositivos físicos, como totens e máquinas de cartão. O foco é identificar falhas que possam representar riscos às companhias, como vazamento de dados, que impactam na LGPD; invasão; ataques por ransomware; ou outra vulnerabilidade que traga prejuízo financeiro, operacional ou de imagem.

A empresa que contratou o serviço, então, avalia os relatórios de vulnerabilidades enviados e, se aprovados, o pesquisador recebe sua recompensa. “A maior recompensa única paga a um especialista até o momento foi de R$ 15 mil, e o recorde de tempo na identificação de uma falha foi de 8 minutos após a abertura do programa”, destaca o CEO.

BugHunt lança primeiro programa de VDP do Brasil

Acompanhando seu crescimento e a democratização da cibersegurança no Brasil, a BugHunt aposta agora no lançamento do primeiro VDP (Vulnerability Disclosure Program) do país, um programa de divulgação de vulnerabilidades, que fornece diretrizes sobre como uma organização gostaria de ser notificada sobre possíveis vulnerabilidades de segurança encontradas por terceiros externos.

“É o equivalente aos famosos canais de denúncias tradicionais, porém focado para o digital, mais especificamente em cibersegurança. Destina-se a fornecer aos hackers éticos, ou a qualquer pessoa que encontre algo errado, recomendações claras para relatar vulnerabilidades de segurança potencialmente desconhecidas ou prejudiciais à empresa ou organização”, explica Telles.

Segundo o executivo, apesar da maior conscientização, ainda existem empresas que enxergam a cibersegurança como um gasto – e não como investimento. “As corporações precisam se atentar no que está acontecendo no cibercrime, e tomar as devidas precauções para evitar a exposição aos riscos, visto que já existem no mercado diversos mecanismos que ajudam a identificar e a evitar esses riscos, e um deles é o VDP”, pontua.

Ao contrário dos programas de Bug Bounty, o VDP não promove recompensas em dinheiro aos especialistas, porém oferece reconhecimento público, oportunidades e, em alguns casos, brindes, conhecidos como swags. “Ou seja, agora, a empresa precisa investir muito pouco para corrigir falhas e evitar ataques, aprimorando sua segurança”, ressalta Telles. “Para os pesquisadores, a vantagem é ter um caminho para relatar vulnerabilidades, ser reconhecido pela comunidade e pelo setor, além de somar pontos na plataforma da BugHunt e melhorar sua reputação no ranking, possibilitando a participação em programas privados de Bug Bounty”, destaca o CEO.

Hoje, os VDPs já são uma realidade no exterior, assim como o Bug Bounty. “Empresas que não possuem VDP acabam correndo o risco de ter suas vulnerabilidades divulgadas publicamente de forma descoordenada”, alerta Telles. “Nosso intuito é contribuir na elevação da maturidade em cibersegurança das companhias brasileiras e aproximar os hackers das empresas”, conclui.

O programa de VDP da BugHunt está disponível para todas as empresas que queiram criar o processo de recebimento de vulnerabilidades. Para mais informações, basta acessar o site www.bughunt.com.br.