Há pouco mais de um ano, vimos como os programas de Bug Bountry podem pagar bastante dinheiro. Recentemente circulou a história de um jovem argentino que é uma prova viva de como a busca por falhas de segurança em código pode ser uma atividade muito lucrativa.
Para aqueles que não estão familiarizados com o termo, Bug Bounty refere-se a programas de recompensas através dos quais as empresas oferecem compensações financeiras e reconhecimento para aqueles que conseguem encontrar falhas de segurança em um sistema, seja um site, um programa de computador, etc.
Santiago López, de 19 anos, que mora em Buenos Aires, na Argentina, tornou-se a primeira pessoa a ganhar mais de US$ 1 milhão em recompensas através de uma plataforma líder em promover programas de Bounty Bugs: o HackerOne.
"Estou bastante orgulhoso de ver que meu trabalho é reconhecido e valorizado. Não apenas pelo dinheiro, mas porque essa conquista representa a informação de empresas e pessoas sendo mais seguras do que eram antes, e isso é incrível”, disse Lopez ao site HackerOne.
Santiago também destacou que é "completamente autodidata" e que assumiu o ofício e se juntou ao portal HackerOne em 2015. No ano seguinte o adolescente, que trabalhava com o pseudônimo "try_to_hack", recebeu sua primeira recompensa: US$ 50 por uma falha de software que teria permitido um tipo de ataque conhecido como "falsificação de solicitação entre sites" ou, em inglês, Cross-Site Request Forgery (CSRF).
Desde que juntou-se à plataforma de crowdfunding bug do HackerOne, Santiago identificou mais de 1.670 vulnerabilidades de código em serviços de empresas como Verizon, Twitter e WordPress. Isso inclui a identificação de um bug que poderia ativar ataques Server Side Request Forgery (SSRF), que deram a Lopez a maior recompensa em dinheiro: US$ 9.000.
O que inicialmente foi um esforço extra-escolar evoluiu para um trabalho que ocupa de 6 a 7 horas por dia de seu tempo. E, além disso, faz com que ele ganhe mais do que um típico engenheiro de software em Buenos Aires.
"O que mais me interessa quando procuro por erros é encontrar o maior número possível em um curto período de tempo e tentar receber recompensas por eles. Eu sei que dizem que a qualidade é preferível à quantidade, apesar que gosto mais de quantidade", destacou Santiago.
Dias depois de chegar ao número histórico, Lopez passou a fazer parte do clube de recompensas de milhões de dólares de Mark Litchfield, um nome familiar na indústria. De fato, Litchfield tinha uma pequena vantagem sobre Lopez, que em 2016 já havia atingido a quantia de US$ 500.000 relatando falhas.
2018: um ano de muitas recompensas
Além de anunciar a conquista de Lopez, o portal HackerOne também lançou o Hacker Report 2019. A plataforma, que atua como uma espécie de intermediário entre empresas e hackers éticos, destaca que hackers white hat ganharam mais de US$ 19 milhões em recompensas apenas em 2018, o que equivale aos US$ 24 milhões que os membros do HackerOne ganharam nos cinco anos anteriores.
Na verdade, mais e mais pessoas se juntam à comunidade. A quantidade de membros do HackerOne ultrapassou os 300.000, um número que representa o dobro do ano anterior. Os caçadores de recompensas dos Estados Unidos e da Índia representam quase um terço dos membros.
Nove em cada 10 membros do HackerOne têm menos de 35 anos e quase um em cada dois tem entre 18 e 24 anos. Como Lopez, a maioria (81%) é autodidata, enquanto apenas 6% concluíram uma certificação formal em hacking.