Caçadores de Insetos

O ano de 2020 afetou a todos de uma forma ou de outra. Enquanto alguns de nós têm a vantagem de trabalhar em casa, existem pessoas como trabalhadores que dificilmente conseguem encontrar 2 refeições por dia. As indústrias de grande porte, como as indústrias automobilísticas, também foram gravemente afetadas. Por outro lado, as empresas de TI e as multinacionais não só conseguiram sobreviver, mas também mostraram um aumento significativo em suas vendas e lucros. Uma das empresas que se tornou popular é a Zoom. De acordo com os dados fornecidos pelo Zoom, a receita do exercício de 2018 foi de US$ 121,5 milhões e no ano de 2020 subiu para US$ 622,7 milhões (até o mês de maio). Não apenas as empresas, mas os indivíduos também obtiveram grandes lucros este ano.

Recentemente, li um artigo onde eles falavam sobre hackers e caçadores online que ganharam recompensas e preços em lakhs em meio a esse bloqueio. Bhavuk Jain – um cara de Delhi conseguiu ganhar US $ 10.000 da Apple por encontrar um bug crítico em seu sistema. Por identificar um bug na plataforma de rede social do Facebook, um cara de Ahmedabad conseguiu US$ 31.500 como recompensa. Então, uma pergunta pode surgir: quem são esses caçadores e como eles ganham hackeando? Para encontrar respostas, continue lendo.

Quem são esses hackers?

Esses hackers são chamados de caçadores que encontram bugs em um sistema e relatam uma falha de segurança para as organizações. Em troca, a organização paga recompensas monetárias. Ser um caçador de insetos tem seus próprios benefícios. São eles que divulgam suas descobertas para uma empresa ou organização e são pagos com uma boa quantia ou recompensas. Isso exigiria boas habilidades de observação, bons conhecimentos técnicos e boas habilidades de documentação para ganhar uma recompensa por bugs.

Anteriormente, os hackers costumavam encontrar um bug e denunciá-lo na esperança de conseguir uma oferta de trabalho lucrativa da empresa. Naquela época, uma entrada no Hall da Fama da empresa era uma oferta boa o suficiente para a maioria dos hackers da época. Hoje, todos esses caçadores de bugs estão procurando retorno na forma de recompensas monetárias para que possam passar para o próximo projeto de hackers depois de concluir um. Já ouviu falar sobre o termo “Programa de Recompensas de Bugs”? Sob esses programas, as organizações e empresas de software oferecem ofertas e recompensas a um indivíduo que encontra um bug ou vulnerabilidade em seus sistemas e os relata a eles. Empresas e organizações como Microsoft, Google, Facebook, Reddit, etc., implementaram programas de recompensa de bugs para descobrir e resolver os bugs em seu sistema, a fim de evitar incidentes indesejados.

Plataformas de tendências para caçadores de bugs

Agora vamos falar sobre várias plataformas de recompensas por bugs que oferecem oportunidades para os indivíduos ganharem algum dinheiro extra. Essas plataformas não são as mesmas plataformas tradicionais de freelancer como Upwork, Fiverr ou Freelancer. Nas plataformas de freelancer, você precisa licitar os projetos e fazer uma proposta que possa convencer o cliente. Uma das coisas mais importantes que atrai o cliente e pode convencê-lo a lhe dar o projeto é o seu perfil e classificações. Mesmo depois de tanto procedimento, não é garantido que você receba o projeto.

Por outro lado, as plataformas de recompensas de bugs são simples. As empresas e organizações carregam seus projetos e nomeiam o módulo ou projeto que precisa ser cuidado. Os caçadores, pesquisadores e hackers podem entrar online, verificar o projeto e relatar as vulnerabilidades. Além disso, vários pesquisadores podem trabalhar em um projeto e vice-versa. Se o relatório enviado for válido e confiável, você será recompensado com base na gravidade dos bugs. Pode-se dizer que essas plataformas de recompensas de bugs estão abertas para todos e qualquer candidato merecedor pode ganhar com essas plataformas. A própria Upwork está convidando os pesquisadores da plataforma Bugcrowd para testar suas plataformas de freelancers e garantir que a plataforma seja segura e livre de vulnerabilidades.

A seguir estão algumas das plataformas de recompensas de bugs conhecidas:

Multidão

É uma plataforma de segurança com sede em São Francisco. Seu modelo de negócios é completamente baseado em pesquisadores de segurança e segurança cibernética de origem coletiva. Esta plataforma funciona de forma simples e direta.

• A empresa ou organização de software carrega seu projeto ou módulo na plataforma Bugcrowd e menciona as possíveis superfícies de ataque que precisam ser mais seguras. Cabe à organização que eles precisam manter o programa privado ou aberto à comunidade da multidão.
• Assim que o programa estiver ativo, a comunidade da multidão pode descobrir as vulnerabilidades e denunciá-las.
• Com base na validade e gravidade do relatório, você será recompensado.

Possuem diferentes níveis para identificar a gravidade do programa: P1 a P4; P1 sendo o mais crítico.

O Bugcrowd permite que um pesquisador colabore com outros pesquisadores para trabalhar em um projeto específico e denunciá-lo na plataforma. É divertido acompanhar suas descobertas de bugs. Então, Bugcrowd faz isso por você. Seus pontos de todos os tempos e classificação entre os outros pesquisadores são mantidos em seu perfil. Se você é de natureza competitiva, com certeza vai gostar disso.

HackerOne

HackerOne – uma empresa com sede em São Francisco tem seu escritório espalhado em muitas cidades como Londres, Cingapura e Holanda. Sua comunidade de hackers é a melhor da classe. Tem mais de 6 lakhs de hackers registrados em sua comunidade. As empresas ou organizações da HackerOne têm acesso a uma comunidade diversificada e talentosa de hackers. O Departamento de Defesa dos EUA, Google, Intel, Lufthansa e muitas outras empresas globais em todo o mundo fizeram parceria com o HackerOne.

Os hackers do HackerOne podem ganhar e manter status e reputação na tabela de classificação. Se você conseguir quebrar a tabela de classificação para estar entre os principais hackers da comunidade, poderá obter oportunidades de acessar os alvos confidenciais e ser convidado para programas privados. Isso pode aumentar seu representante e obter uma boa quantia de dinheiro.

O HackerOne também é conhecido por organizar os eventos de hackers ao vivo em todo o mundo. Existem Programas de Mentoria em seus eventos ao vivo. Esses eventos permitem que os novos hackers façam parceria com os hackers habilidosos. Você pode trabalhar em conjunto com os hackers habilidosos e pode acelerar seu aprendizado e técnicas de caça a bugs.

Synack

Synack – uma empresa com sede na Califórnia é uma plataforma de segurança de crowdsourcing. Synack não é tão simples quanto HackerOne ou Bugcrowd. Você precisa seguir um procedimento e se inscrever para se tornar parte da comunidade Synack. A comunidade Syncak tem pesquisadores de segurança de 82 países que fazem parte de seu Synack Red Team.

Na Synack, um hacker ou pesquisador pode ganhar dinheiro de duas maneiras. A primeira é rastreando um bug ou vulnerabilidade e relatando-os. A outra maneira é completar as missões e ser pago. Para isso, você precisa ser um membro do Synack Red Team. Você tem que aplicar e limpar diferentes rodadas para se tornar um membro do Red Team. A primeira rodada é a avaliação de habilidades, então você será convidado para uma entrevista. Depois disso, sua verificação de antecedentes será feita. Somente depois de concluir essas rodadas, você poderá fazer parte do Red Team. Eles não aceitam os candidatos que trabalham para outras empresas como Bugcrowd, HackerOne, etc. Você pode ver esta lista na própria política da Synack.

Recentemente, lançou a plataforma Hydra Technology. Essa tecnologia atua como um multiplicador de força para o Red Team. A Hydra Technology procura novas áreas de ataque e reporta seus dados ao Red Team. Isso tem sido uma bênção para a equipe vermelha. Eles fornecem inteligência de segurança vital em um ritmo mais rápido.

As outras plataformas de recompensas por bugs são:

1. Recompensa de Inseto Cobalto
2. Sim, nós hackeamos
3. Chapéus de segurança
4. Intigriti

Aplicativo Aarogya Setu

Existem muito poucas empresas na Índia que têm programas de recompensas de bugs e oferecem recompensas monetárias aos hackers e pesquisadores por relatarem bugs ou vulnerabilidades. Algumas das empresas que oferecem os programas de recompensas de bugs são PayTM e BigBasket.

Recentemente, o Ministério de TI declarou “Aarogya Setu – o aplicativo de rastreamento de contatos CoVID-19” como código aberto e anunciou um esquema de recompensa de bugs de Rs 3 lakhs. O CEO da NITI Aayog, Amitabh Kant, disse que o aplicativo se tornou o aplicativo mais rápido do mundo a atingir 50 milhões de downloads em apenas 13 dias.

Embora as empresas e organizações de software indianas não sejam conhecidas por oferecer recompensas por bugs, os hackers da Índia estão relatando bugs e vulnerabilidades em larga escala.

A caça aos insetos pode ser uma opção de carreira?

O grande número de programas de recompensas de bugs está sendo oferecido em todo o mundo em várias plataformas. Muitos dos caçadores ganharam dezenas ou centenas de milhares de dólares apenas por seu conhecimento e olho afiado para bugs e vulnerabilidades. Isso levou muitos dos indivíduos a se concentrarem nos programas de recompensas de bugs e optarem por isso como sua carreira em tempo integral.

Esta é, sem dúvida, uma grande oportunidade de ganhar algum dinheiro extra e comprar PS5 ou Xbox. Mas para alguém que tem um emprego bem remunerado com responsabilidades familiares, eles não devem mergulhar para caçar insetos como sua carreira em tempo integral.

Caçar bugs e relatar vulnerabilidades exige muito aprendizado, esforço e tempo. Você deve ser minucioso com a documentação, ler artigos de segurança e praticar a redação de relatórios. Adote uma estratégia que combine com você.

Às vezes pode acontecer de você trabalhar duro o suficiente para descobrir um bug, documentá-lo e denunciá-lo apenas para saber que algum outro hacker relatou o mesmo bug algumas horas antes. Santiago Lopes – caçador de bugs da Argentina ganhou US $ 1 milhão com a plataforma HackerOne. Ele disse que deve ter sido uma perda de tempo se alguém tivesse relatado o bug antes dele. Este ponto deve ser mantido em mente antes de seguir uma carreira em tempo integral na caça de insetos.

Ponto de vista pessoal

Hoje em dia, a maioria dos dispositivos são dispositivos inteligentes e estão conectados à internet. As empresas estão priorizando a privacidade e a segurança de seus usuários. Portanto, eles gostariam de manter a superfície de ameaças mais baixa, dando as boas-vindas a qualquer pessoa que possa ajudá-los a proteger seu sistema.

Ainda assim, pode não ser uma boa ideia se tornar um caçador de bugs em tempo integral se você não estiver familiarizado com seu funcionamento. Sugiro que, antes de fazer a grande mudança, você trabalhe meio período como caçador de bugs por um ano ou dois.