Publicidade
Nos últimos anos, além de terem de se ajustar a um cenário econômico desafiador, as empresas tiveram que olhar com mais atenção para a cibersegurança. Só no ano passado, segundo levantamento da BugHunt, divulgado em primeira mão ao InfoMoney, uma em cada quatro companhias sofreu algum tipo de ataque cibernético no Brasil.
A técnica conhecida como phishing -golpe de engenharia social para roubo de dados- foi a mais recorrente, responsável por quase 40% das invasões. O sequestro de informações (ransomware, em inglês) e a infecção por vírus aparecem na sequência, ambos em 25% dos casos, ainda de acordo com o levantamento.
Para conseguir aplicar os golpes, em geral, os criminosos aproveitam alguma brecha de cibersegurança, por onde conseguem entrar e acessar os sistemas. Estando com o banco de dados, os hackers têm um prato cheio para enviar mensagens fraudulentas e, em alguns casos, até usar as credenciais de funcionários para pegar elementos confidenciais da empresa.
Por isso, na tentativa de diminuir a exposição, algumas marcas estão recorrendo ao chamado bug bounty, um sistema de recompensa que paga para profissionais de tecnologia encontrarem falhas de segurança. Na prática, usa-se mão de obra externa para identificar potenciais lacunas que permitam que um cibercriminoso acesse seus servidores.
Desde 2017, a OLX recorre a esse serviço, adicionando mais uma camada de segurança para seus produtos, inicialmente com profissionais do exterior, além de ter um time interno que atua diariamente nessa frente. Raúl Rentéria, diretor de tecnologia da plataforma de anúncios, destaca que esses profissionais analisam os pontos críticos, produzem relatórios com possíveis falhas e, então, são remunerados.
Em 2020, a companhia decidiu concentrar esse serviço no Brasil e, por isso, fechou parceria com a BugHunt, startup brasileira especializada nesse tipo de programa de recompensa, que tem um banco de dados com cerca de 17 mil pesquisadores, formado em sua maioria por brasileiros. Esses profissionais ficaram conhecidos como “hackers do bem”, já que usam algumas das mesmas metodologias dos cibercriminosos para proteger seus clientes.
Continua depois da publicidade
“Um público que sabe como funciona uma plataforma como essa no Brasil consegue ser mais assertivo em encontrar falhas”, diz Rentéria. “Temos uma equipe que cuida só de cibersegurança – e a empresa também tem amadurecido nesse aspecto -, no entanto, o programa de recompensas traz um olhar diferenciado, de alguém de fora, sem viés, diferente de quem lida com o tema internamente todos os dias”.
O especialista lembra que, desde que a companhia adotou o processo, já recebeu 400 notificações de segurança, tendo validado 70 delas. “Nenhum desses reportes era de alto nível de criticidade, mas este é um volume bastante interessante”.
Em média, as empresas desembolsam R$ 4 mil por cada vulnerabilidade recebida, valor que pode passar de R$ 15 mil, dependendo do nível de gravidade. Caio Telles, CEO da BugHunt, destaca que a análise segue um padrão internacional de medição, chamado de CVSS (Sistema de Pontuação de Vulnerabilidade Comum, na tradução literal), que avalia caso a caso, de acordo com critérios objetivos em quatro faixas: baixo, médio, alto e crítico.
Continua depois da publicidade
“Usamos uma metodologia em que o pesquisador pode identificar o grau de risco respondendo algumas perguntas. Por padrão, ele vai mapear a falha, mandar um relatório para a empresa e é ela quem vai analisar a criticidade, podendo aumentar ou até diminuir o índice. Às vezes, a vulnerabilidade que tem grau médio de risco pode ser algo crítico ou nem tanto”, explica Telles, que espera aumentar em 150% o faturamento da cybertech neste ano.
Mercado pungente
Recorrer à manobra do Bug Bounty faz parte do expediente das principais empresas de tecnologia do mundo, que abrem programas específicos todos os anos. Até a novata OpenAI – desenvolvedora do ChatGPT – se rendeu ao serviço, em abril, quando passou a oferecer recompensa de US$ 20 mil para quem encontrar falhas em seus sistemas.
Só o Google (GOGL34), no ano passado, destinou o total de US$ 12 milhões para mais de 700 pesquisadores espalhados por vários países. Em comunicado oficial, a big tech detalhou que foram encontradas 2,9 mil falhas, a maioria relacionada ao seu sistema operacional móvel, o Android. O navegador Chrome também foi responsável por uma grande fatia do montante.
Continua depois da publicidade
Esses números são reflexos de um mercado de cibersegurança que está em alta globalmente, com estimativa de movimentar algo próximo de US$ 138 bilhões (cerca de R$ 700 mi) ainda neste ano, segundo a consultoria Gartner. Para esta década, os analistas projetam uma alta superior a dois dígitos, em vista das ameaças que tendem a aumentar dado o contexto de uso da inteligência artificial e de outras tecnologias avançadas.
Se analisados individualmente, esses números parecem altos, mas são bem tímidos diante do que um ataque hacker pode fazer com a operação de uma empresa. Nos últimos doze meses, movimentos como este paralisaram operações de diversas companhias, entre elas Fleury (FLRY3), Americanas (AMER3), Banco Pan (BPAN4) e até órgãos públicos, a exemplo do Hospital da USP (Universidade de São Paulo).
O caso mais emblemático, porém, foi o da JBS (JBSS3), em 2021, que sofreu um sequestro de dados e se viu obrigada a pagar US$ 11 milhões para reaver suas informações. Somadas, desde 2021, as dez principais invasões digitais do mundo geraram um prejuízo de US$ 69 milhões às atacadas, conforme relatório da empresa de software de segurança Immunefi.
Continua depois da publicidade
O executivo da OLX destaca que apostar em programas como o bug bounty é um investimento em segurança interna, pois se trata dos sistemas próprios, mas também externa, protegendo as informações dos consumidores que circulam pelo ecossistema da companhia.
“Eu diria que o bug bounty olha muito da porta para dentro porque tenta procurar falhas em nossas próprias estruturas, mas não desconectaria da usabilidade, com o público externo. Na medida em que eu tenho um sistema robusto, que me antecipa a um vazamento de dados, isso passa a ser do interesse de qualquer usuário da plataforma”, frisa Raul.