OLX aposta em programa Bug Bounty

A preocupação das empresas em encontrar soluções para se defender dos ciberataques aumenta a cada ano. E nesta atuação forte contra o crime cibernético, os CISOs apostam em diversas frentes, da tecnologia à conscientização. E um dos métodos adotados por algumas companhias é o Bug Bounty, programa de recompensa que tem como objetivo identificar possíveis vulnerabilidades em sistemas e ambientes. Esse caminho é uma grande aposta da varejista OLX.

Em entrevista à Security Report, Paulo Baldner, Head de Cyber Security na OLX, conta que a empresa investiu em soluções nacionais e internacionais a fim de colher benefícios de um programa como esse. No início, a plataforma escolhida foi da HackerOne, mas em 2020, a companhia apostou também na BugHunt, startup brasileira especializada nesse tipo de programa de recompensa.

Segundo Baldner, o uso de uma ferramenta local com pesquisadores brasileiros trouxe mais benefícios, pois esses profissionais conseguem ter uma visibilidade mais ampla das demandas e realidades brasileiras.

“Quando apostamos no programa mais abrangente com um escopo global, o foco foi direcionado mais em vulnerabilidade e nas consequências da exploração das brechas. Hoje, continuamos com os dois programas pela BugHunt e HackerOne, entretanto, o programa brasileiro traz resultados mais expressivos para nossa demanda”, pontua o Baldner.

Em termos de funcionamento do programa Bug Bounty na OLX, o executivo explica que existe uma metodologia para os reports, dependendo da criticidade das vulnerabilidades exploradas. O pesquisador também pode escolher o formato da entrega do relatório, sendo em vídeo, texto ou print de tela. Os valores variam de R$ 500,00 até R$ 10.000,00 de recompensa.

“85% dos reports são de criticidade baixa e média, os outros 15% são de vulnerabilidades críticas. Entretanto, é preciso ter atenção redobrada com falso positivo, pois para nós o crítico é quando envolve vazamento de dados sensíveis dos usuários. Temos ainda as vulnerabilidades médias que geralmente são aquelas que podem afetar a disponibilidades dos serviços”, explica o Head de Cyber Security.

Por mais que o programa de Bug Bounty traga inúmeros benefícios, existe também a complexidade operacional. A OLX conta com um time dedicado em tratar incidentes recebidos através do programa. Porém, o tempo de resposta ainda é muito alto, demorando entre 15 a 20 dias entre receber uma vulnerabilidade e verificar se é válida ou não.

“O meu sentimento é que isso deveria ser mais rápido, mas alguns reports não são validados pelo meu time e sim pelas equipes de aplicações”, diz. “Mas em geral, o programa gera resultados positivos não só na área de Segurança, mas no desenho de outros projetos sensíveis. Além disso, o Bug Bounty nos dá a oportunidade de evoluir dentro das plataformas e melhorar as camadas de proteção”, completa.

Tendência

O Bug Bounty está avançando dentro das principais empresas de tecnologia do mundo. Até a OpenAI – desenvolvedora do ChatGPT – se rendeu ao serviço, em abril deste ano, quando passou a oferecer recompensa de US$ 20 mil para quem encontrar falhas em seus sistemas.

Só o Google, no ano passado, destinou o total de US$ 12 milhões para mais de 700 pesquisadores espalhados por vários países. Em comunicado oficial, a Big Tech detalhou que foram encontradas 2,9 mil falhas, a maioria relacionada ao seu sistema operacional móvel, o Android. O navegador Chrome também foi responsável por uma grande fatia do programa de recompensas.