Webmotors investe em programas de recompensa para identificar e antecipar eventuais vulnerabilidades na plataforma
Portal líder no setor automotivo firmou parceria com a startup BugHunt e agora recompensa hackers por possíveis falhas encontradas em seus serviços
O Brasil registrou mais de 8,4 bilhões de tentativas de ataques cibernéticos em 2020, de um total de 41 bilhões em toda a América Latina e Caribe, de acordo com um levantamento feito pela Fortinet. Com o objetivo de manter a confiança de seus mais de 30 milhões de visitantes mensais, a Webmotors, principal portal de negócios e de soluções para o segmento automotivo, fechou parceria com a BugHunt, primeira plataforma brasileira de Bug Bounty, programa de recompensa por identificação de falhas.
Os prejuízos de ataques e fraudes são inúmeros, com destaque para potenciais perdas financeiras, impactos no compliance com a LGPD e na reputação da marca. “Um dos principais atributos de nossa marca é ser um ambiente seguro para compradores e vendedores de veículos. Nosso objetivo é estar sempre um passo à frente das ações dos cibercriminosos, buscando a segurança dos dados dentro das nossas plataformas e implementando políticas, práticas e ferramentas de proteção”, explica Daniel Polistchuck, diretor de tecnologia da empresa.
A plataforma, que tem um processo robusto de segurança da informação, já contava com as ferramentas e processos adequados a equipes em home office, mesmo antes e independente da pandemia.
Segundo Caio Telles, CEO da BugHunt, quando se fala em hacker, a reação da maioria das equipes de TI ainda é sentir receio. “Há tempos, esse termo é associado apenas aos criminosos da internet, que aproveitam brechas de segurança”, ressalta. No entanto, tem sido comum a propagação do hacker do bem, profissional que contribui para o aumento de segurança e estabilidade do sistema de um negócio. E a Webmotors é um dos exemplos de pioneirismo nessa frente.
“O programa de Bug Bounty permite que tenhamos um time de hackers éticos com diferentes abordagens, fazendo testes nas aplicações para avaliação da segurança com uma entrega bastante detalhada”, destaca Polistchuck. “Na nossa visão, o programa é complementar aos Pentests que realizamos periodicamente. Entendemos ser uma solução extremamente relevante. Com as lições aprendidas, conseguimos orientar nosso time de desenvolvimento e arquitetura a criarem, por design, soluções ainda mais seguras e robustas”, completa.
De acordo com a BugHunt, a Webmotors faz parte de um time de empresas que têm mudado sua percepção e estão mais engajadas em evoluir a maturidade de segurança em seus processos e sistemas. “Isso é fundamental para que os negócios não parem, pois o cibercrime também evolui e, para conseguir acompanhar esta evolução, é preciso investir em cibersegurança. Atualmente, a melhor opção são os programas de recompensa por bugs, pois promovem pioneirismo no mercado”, ressalta Telles.
Caçadores de falhas
A BugHunt acompanha de perto as vulnerabilidades de sistemas e soluções ao reunir especialistas em busca de reconhecimento e instituições comprometidas com a segurança da informação e privacidade de seus clientes. A partir da ferramenta, as empresas podem abrir programas em duas modalidades: pública e privada. Na primeira, o programa fica disponível para qualquer participante. Na segunda, a companhia pode escolher profissionais na lista dos melhores hackers. “Nos dois serviços, ajudamos na escolha da definição do escopo e na recompensa. No privado, exclusivamente, auxiliamos na escolha do time de especialistas. Também há a possibilidade da adesão do serviço gerenciado, em que realizamos a triagem dos relatórios recebidos pelas empresas”, explica Telles.
Os especialistas cadastrados, então, identificam bugs em sistemas, aplicativos, websites e dispositivos físicos, como totens e máquinas de cartão. A empresa que contratou o serviço avalia os relatórios de vulnerabilidades enviados e, se aprovados, o pesquisador recebe sua recompensa. Um especialista pode ganhar recompensa em dinheiro, além de brindes, conhecidos como swags, e reconhecimento. O foco é identificar falhas que possam representar riscos às empresas, como vazamento de dados, que impactam na LGPD; invasão; ataques por ransomware; ou outro risco que traga prejuízo financeiro, operacional ou de imagem. Em média, as companhias em geral levam 196 dias para perceber que foram atacadas e, com a BugHunt, os especialistas identificam falhas e enviam relatórios às instituições em poucos minutos.
Nos últimos meses, a BugHunt também observou um aumento no interesse por programas de Bug Bounty, tanto por especialistas, quanto por empresas. “Instituições dos mais diversos segmentos, como bancos e fintechs, marketplaces, empresas de varejo, startups de tecnologia, portais de notícias, operadoras de telefonia, indústrias e até mesmo grupos de educação, têm nos procurado. Um dos nossos objetivos é democratizar o acesso à segurança e, por isso, está na nossa essência o atendimento de empresas de qualquer tamanho e segmento”, pontua Telles. Atualmente, a plataforma conta com mais de 4.600 especialistas inscritos e já identificou mais de mil falhas em instituições brasileiras.
Para o executivo, conforme uma empresa acata às sugestões dos especialistas, o número de relatórios deve diminuir, e isso é um indicador de que a maturidade da companhia está aumentando. “Os programas de recompensa por vulnerabilidades permitem o olhar dos especialistas da plataforma de maneira constante e contínua, então isso auxilia e cria a necessidade das empresas ajustarem seus processos internos para a correção das vulnerabilidades relatadas, o que também acaba promovendo a maturidade em segurança”, ressalta. “Hoje, não é possível atingir uma maturidade em segurança sem o auxílio de especialistas e hackers éticos. Aquelas empresas que contam com a comunidade de pesquisadores para auxiliar na proteção de seus negócios são as que estão na frente da corrida pela segurança”, finaliza.