O que é um Bug Bounty e como você pode reivindicar um?

Você homem usando um laptop ao lado de vários monitores de computador com código em exibição.
DC Studio/Shutterstock.com

As recompensas por bugs permitem que as pessoas que descobrem falhas de segurança em softwares e serviços de computador sejam recompensadas com dinheiro. Então, o que é preciso para ser um caçador de recompensas de insetos, e você pode ganhar a vida fazendo isso?

O que são programas de recompensas de bugs?

O software e os serviços que usamos todos os dias são escritos por seres humanos, muitas vezes sob pressão para colocar seu código em funcionamento para que a empresa possa ganhar dinheiro. Embora os métodos modernos de desenvolvimento de software resultem em software com notavelmente poucos problemas sérios, não há como um pequeno grupo de desenvolvedores prever todas as possibilidades ou ver todos os erros.

Compare isso com o exército de hackers procurando por todas as brechas possíveis na armadura desse código, e fica claro por que os programas de recompensas de bugs são necessários. Esses programas oferecem uma recompensa às pessoas que descobrem uma vulnerabilidade confiável ou outro tipo de problema qualificado nos aplicativos e serviços fornecidos.

Quem pode reivindicar recompensas de bugs?

Em princípio, não importa quem descobre uma vulnerabilidade ou exploração. O importante é que a empresa saiba disso e resolva o problema antes que ele cause danos reais. Na prática, as recompensas por bugs são mais frequentemente reivindicadas por pesquisadores de segurança profissionais. Esses são especialistas que tentam intencionalmente encontrar pontos fracos nos sistemas e recebem recompensas pagas ou antecipadamente para fazer “ testes de penetração ” para uma empresa.

Recomendado:  O que são VPNs descentralizadas?

Isso não significa que você não possa denunciar um caso o encontre, mas você precisa pesquisar os requisitos para envio e verificar se possui as informações técnicas necessárias para relatar o problema.

Programas de recompensas de bugs não são todos iguais

O processo para reivindicar uma recompensa por bug e o que o qualifica para receber o pagamento difere de um programa para outro. A empresa em questão estabelece as regras para o que considera um problema que vale a pena pagar para conhecer. Ele também definirá o formato adequado para relatar esse problema, juntamente com todas as coisas necessárias para replicar e verificar o problema.

A quantidade de dinheiro que um relatório verificado vale também será diferente. Algumas empresas são enormes, com grandes orçamentos para segurança. Outros são pequenas empresas ou startups que dependem de programas de recompensas de bugs para compensar seu relativamente pequeno complemento permanente de equipe de segurança cibernética. Nesse caso, as recompensas podem ser mais modestas.

Onde encontrar programas de recompensas de bugs

O primeiro lugar para verificar se você encontra uma vulnerabilidade reportável é o site da empresa que fabrica o produto ou oferece o serviço em questão. Geralmente, são apenas empresas muito grandes que executam e administram seus próprios programas de recompensas por bugs.

Roupas menores são mais propensas a usar serviços especializados de recompensas por insetos. Por exemplo,  a lista de programas de recompensas de bugs do HackerOne  promove programas de várias empresas que são gerenciadas através do site.

Quanto as recompensas de bugs pagam?

Uma mulher com uma expressão animada segurando um leque de notas de cem dólares.
Dean Drobot/Shutterstock.com

Se você visitou a lista de recompensas de bugs do HackerOne vinculada acima, deve ter notado que cada programa lista uma quantidade mínima de recompensas. Se você abrir um dos programas, verá estatísticas sobre o pagamento médio de recompensas, bem como os níveis de recompensa, dependendo da gravidade da vulnerabilidade.

Recomendado:  Como usar um smartphone para desconectar

Problemas de gravidade baixa, média e alta podem render algumas centenas a milhares de dólares, enquanto vulnerabilidades críticas podem render vários milhares de dólares.

Houve algumas recompensas realmente impressionantes pagas ao longo dos anos e ofertas massivas , mas são como ganhar na loteria. Você precisa ser aquele que acontece em uma exploração de um em um milhão e tem que estar no sistema de um grande jogador que tem esse tipo de dinheiro. Se você quer ganhar a vida com recompensas de bugs, é mais provável que você obtenha uma renda estável de pequenos bugs comuns que surgem por meio de testes de penetração sistemáticos.