Olhar Conceito

Quarta-feira, 14 de abril de 2021

Notícias / Tecnologia

Hackers ganham um milhão de milhas por falhas em site de companhia aérea

G1

21 Jul 2015 - 19:33

Dois pesquisadores de segurança -- "hackers do bem" -- receberam recompensas de um milhão de milhas aéreas cada um depois de terem encontrado vulnerabilidades nos sistemas da United Airlines. O prêmio faz parte do programa de "recompensa por bugs" que a companhia aérea oferece para incentivar especialistas a acharem brechas em seus sistemas e relatarem os problemas de maneira discreta.

Os detalhes dos problemas encontrados são desconhecidos, mas as brechas não estão nos sistemas das aeronaves, porque apenas falhas em sites e em aplicativos de celular são elegíveis. A United proíbe expressamente qualquer tentativa de interferência com os sistemas internos dos aviões.

Programas de recompensa, chamados de "bug bounty" em inglês, não são novidade. Mas a recompensa dada pela United Airlines mostra que essas iniciativas não são mais exclusividade das empresas de tecnologia e que prestadores de serviço podem ser criativos na hora de recompensar quem colabora.

O acordo é simples: um especialista de segurança pode procurar e encontrar falhas nos sistemas da empresa e, se identificar algum problema, não pode vir a público. Em vez disso, a empresa deve ser comunicada de maneira reservada. Os detalhes técnicos do erro só podem ser publicados depois que tudo estiver resolvido, protegendo assim a empresa e os clientes.

No caso da United, Kyle Lovett e Jordan Wiens receberam os prêmios de um milhão. Mas a companhia já pagou prêmios menores. O próprio Wiens diz ter recebido outra recompensa de 250 mil milhas.

Não existe bug grátis

O termo "bug" (inseto), em inglês, se refere a qualquer tipo de problema encontrado em software, seja uma vulnerabilidade ou não. Durante anos, pesquisadores colaboraram (e colaboram) gratuitamente com empresas, fornecendo informações sobre bugs encontrados.

Apesar disso, alguns especialistas não eram respeitados e vulnerabilidades seguiam abertas para não comprometer a imagem das empresas, criando o movimento de "full disclosure": a publicação de todos os detalhes técnicos de uma brecha antes mesmo dela ser corrigida, colocando em risco os usuários de um software ou serviço.

Em 2009, um grupo de especialistas iniciou a campanha "no more free bugs" ("chega de bugs grátis"), numa alusão às ofertas de "abraços grátis" (free hugs). Os programas de recompensa por falhas, que até então só existiam em empresas de segurança que compravam informações para proteger clientes, se expandiram para outras empresas de tecnologia, como Google, Yahoo e Facebook.

A Microsoft, que inicialmente se opôs à ideia, também aderiu. A desenvolvedora do Windows já pagou algumas das maiores recompensas: os prêmios chegaram a US$ 125 mil (cerca de R$ 385 mil).

Mas a participação da United é ainda mais emblemática: não é uma empresa de tecnologia e não está pagando prêmios em dinheiro, mas em milhas.

Muitos dos programas de recompensa não oferecem prêmios em dinheiro. Alguns não oferecem nada além de um agradecimento no site. É o caso do Netflix, do Steam e do Uber, por exemplo. Talvez nem dê para chamar esses agradecimentos, escondidos em uma página obscura do site, de um "pagamento". Mas é melhor do que nada.

No entanto, a possibilidade de recompensas melhores pode atrair mais pesquisadores do que um mero "obrigado", deixando esses serviços mais seguros do que outros que não oferecem nenhum tipo de recompensa substancial.

É claro que a segurança final do produto depende também dos investimentos diretos em segurança e da metodologia de desenvolvimento adotada por cada empresa. Mas esses incentivos acabam saindo barato para quem já fez o dever de casa e precisa caçar os bugs mais difíceis.

Redes Sociais

Sitevip Internet