A Google desembolsou, no último ano, um total de US$ 11,8 milhões (cerca de R$ 70 milhões, na conversão direta da moeda e na cotação atual do dólar) para os chamados "caçadores de bugs".
A corporação compartilhou informações sobre o seu Vulnerability Reward Program ao longo de 2024, revelando detalhes das vulnerabilidades que foram solucionadas graças ao trabalho da comunidade.
Conforme os dados divulgados pela empresa, 660 pesquisadores e especialistas em cibersegurança receberam recompensas por suas denúncias bem-sucedidas, que levaram a correções significativas em termos de proteção ou privacidade nos produtos e serviços da Google.
O montante total aproximou-se do recorde do programa, US$ 12 milhões, alcançado em 2022, ano que também registrou o maior número de pesquisadores recompensados, com um total de 703.
Segundo a empresa, esses resultados têm um grande significado: embora menos pessoas tenham feito denúncias, o perfil dos participantes é mais seletivo e as falhas encontradas são mais críticas.
Isso indica que a Google conseguiu resolver problemas mais graves em uma escala maior do que nos anos anteriores.
Houve alterações na regulamentação do programa de recompensas para 2024, com um aumento nas premiações para quem descobrir falhas críticas relacionadas a dispositivos móveis, cloud computing e ao navegador Google Chrome.
A Google também incentivou a descoberta de vulnerabilidades em duas plataformas específicas: o Android Automotive OS, voltado para automóveis, e o WearOS, para dispositivos vestíveis como smartwatches.
Dentre todas as áreas, o Chrome foi o que proporcionou o maior volume de recompensas, com um total de US$ 3,4 milhões (aproximadamente R$ 19,8 milhões) distribuídos.
O recorde individual foi por uma vulnerabilidade no MiraclePtr, uma implementação recente que ajuda a proteger o navegador em áreas críticas da memória, rendendo a um único pesquisador cerca de US$ 100,1 mil (ou por volta de R$ 584 mil).
O que é o Vulnerability Reward Program?
Trata-se de um programa de recompensas da Google que oferta remuneração em dinheiro para quem descobre e reporta falhas de segurança em serviços ou produtos da empresa.
Tanto profissionais veteranos em cibersegurança quanto entusiastas que não atuam na área podem participar, desde que respeitem as regras estipuladas pela corporação.
Além da Google, outras empresas como Meta (proprietária de Instagram, Facebook e WhatsApp), Intel e Microsoft também mantêm programas similares, prometendo valores atrativos.
Contudo, negócios de qualquer tamanho e setor podem estabelecer esse tipo de iniciativa para receber denúncias de falhas em seus sistemas e recompensar os colaboradores dessas descobertas.
Esse tipo de prática é considerado essencial para que testes externos identifiquem vulnerabilidades, às vezes críticas, que possam ter sido negligenciadas pelas equipes internas, além de fortalecer a ligação da empresa com os usuários.
O incentivo é particularmente atraente para o chamado hacker ético, profissional especializado em sistemas de proteção digital que colabora na identificação dessas brechas em companhias de diversos portes.
Como ingressar no universo do bug bounty?
Normalmente, um caçador de bugs é alguém não só atento e curioso, capaz de identificar falhas e inconsistências em códigos e serviços.
Essa pessoa também deve possuir habilidades de desenvolvimento de qualidade, com conhecimento avançado em áreas específicas, incluindo linguagens de programação e ambientes.
Quem tiver interesse nesse tipo de atividade pode buscar os programas de empresas como Google e Meta, que lançam anualmente novas modalidades de denúncias e pagamentos.
Existem também diversos programas privados e públicos que recrutam hackers éticos para testar a segurança de sistemas ao máximo.
Entre os nomes mais conhecidos do ramo, a HackerOne é uma plataforma de cibersegurança que disponibiliza um registro aberto de pesquisadores e ofertas de bug bounty de várias empresas para os interessados.
A Bugcrowd é outro nome importante, com ambos os serviços utilizando o inglês como idioma principal.
No Brasil, há ainda a opção de se juntar à plataforma colaborativa BugHunt, focada em recompensas por bugs.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...