Hacker do bem: EUA pagarão até US$ 5 mil para identificar vulnerabilidade

A agência americana pagará a hackers externos para encontrar vulnerabilidades em seus sistemas de computador

Por

Bloomberg — O Departamento de Segurança Interna dos Estados Unidos (DHS) anunciou um novo programa, na terça-feira (14), no qual a agência pagará a hackers externos para encontrar vulnerabilidades em seus sistemas de computador, um tipo de incentivo popular na indústria de segurança cibernética conhecido como “bug bounty " (ou recompensa por bugs encontrados no sistema).

O secretário do DHS, Alejandro Mayorkas, apresentou o programa “Hack DHS” de sua agência no Bloomberg Technology Summit. Ao contrário de muitas recompensas por bug, que estão abertas para qualquer pessoa, o DHS informou em um comunicado que seu programa incluiria apenas “pesquisadores de segurança cibernética avaliados, que foram convidados a acessar sistemas DHS externos específicos”. Qualquer vulnerabilidade que eles encontrarem será corrigida e os pesquisadores serão recompensados com prêmios financeiros.

“Atuando como uma espécie de zagueiro da segurança cibernética do governo federal, o DHS deve dar o exemplo e buscar constantemente fortalecer a segurança de nossos próprios sistemas”, disse Mayorkas no comunicado. “O programa Hack DHS incentiva hackers altamente qualificados a identificar pontos fracos de segurança cibernética em nossos sistemas antes que eles possam ser explorados por criminosos.”

A ideia já não é mais uma novidade. Centenas de organizações ao redor do mundo agora têm programas do tipo, segundo uma lista mantida pela Bugcrowd, uma empresa com sede em São Francisco, que ajuda a gerenciá-los. Os bug bounties permitem que as empresas protejam melhor seus produtos e que os pesquisadores de segurança cibernética ganhem dinheiro com a identificação de pontos fracos nas tecnologias e redes das empresas.

Mayorkas contou que a agência pagará prêmios de US$ 500 a US$ 5.000 por vulnerabilidade verificada, valores que colocam o maior potencial de pagamento do DHS na extremidade inferior da faixa de alguns programas semelhantes executados por grandes empresas de tecnologia. O Google, por exemplo, disse que em 2020 pagou US$ 6,7 milhões em recompensas por bugs, sendo o maior prêmio individual de US$ 132.500.

O DHS planeja verificar quaisquer vulnerabilidades relatadas dentro de 48 horas e remediar ou desenvolver um plano para remediá-las dentro de 15 dias, disse Mayorkas. “Estamos realmente investindo muito dinheiro, bem como atenção e foco neste programa”, disse ele.

Em relação aos ataques de ransomware, que envolvem o bloqueio de sistemas de computador das vítimas por hackers que exigem pagamento para desbloqueá-los, Mayorkas disse que esses incidentes mais que quadruplicaram na agência no início de 2021, mas que alguns dos grupos de hackers mais prolíficos parecem ter recuado por enquanto.

Uma razão pode ser a intensificação das respostas dos EUA e de outros países a tais ataques, que incluíram uma série de prisões anunciadas em novembro contra supostos membros de um grupo de ransomware ligado à Rússia, comumente conhecido como REvil ou Sodinokibi, além de sanções contra entidades de criptomoedas, que são acusadas de viabilizar os ataques.

“Alguns dos principais hackers não têm sido tão ativos como antes”, disse Mayorkas. “Isso não significa que eles foram embora, ou que os derrotamos. Eles podem muito bem ter apertado o botão de pausa. A vigilância deve permanecer em um nível incrivelmente alto. "

Veja mais em bloomberg.com

Leia também