Em 2011, dois hackers holandeses de 20 e poucos anos fizeram uma lista de cem empresas de alta tecnologia que tentariam invadir. Eles logo encontraram vulnerabilidades nos sistemas do Facebook, do Google, da Apple, da Microsoft, do Twitter e de outras 95 empresas. Batizaram essa lista de Hack 100.
Ao alertarem os executivos dessas empresas sobre as falhas, cerca de um terço os ignorou. Outro terço agradeceu a informação, mas não fez nada a respeito. Os demais se apressaram em resolver os problemas. Felizmente, para os hackers, ninguém chamou a polícia.
Streaming derruba paredes entre gêneros musicais
Meus dois filhos, de quatro e dois anos, de repente ficaram obcecados por Simon e Garfunkel.Por insistência deles, a dupla folk dos anos 1960 é a única música que escutamos durante trajetos de carro.
Leia a matéria completaAgora a dupla, formada por Michiel Prins e Jobert Abma, dirige uma start-up que pretende agir como mediadora entre empresas com problemas de segurança cibernética e hackers como eles, dispostos a resolver problemas ao invés de causá-los.
Eles esperam que sua plataforma, chamada HackerOne, convença outros hackers a relatarem falhas de segurança em lugar de explorá-las maliciosamente. O site serve para colocar em contato os “white hats” (literalmente “chapéus brancos”, ou hackers do bem) com empresas que estejam dispostas a pagar por suas descobertas.
No ano passado, a start-up foi contratada por alguns dos maiores nomes da tecnologia —incluindo Yahoo, Square e Twitter— e empresas totalmente inesperadas, como bancos e companhias de petróleo. Eles também estão convencendo investidores de que a HackerOne tem potencial para ser muito lucrativa. A HackerOne recebe uma comissão de 20% sobre cada recompensa paga a hackers por meio do seu serviço.
Os hackers que encontram furos nos sistemas corporativos podem, dependendo da gravidade do caso, vender suas descobertas por mais de US$ 100 mil a criminosos ou governos estrangeiros, que armazenam essas vulnerabilidades em arsenais cibernéticos. Assim, as falhas raramente são corrigidas. Por outro lado, quando eles expõem esses pontos fracos às empresas para que sejam corrigidos, costumam ser ignorados ou ameaçados de prisão.
“Queremos que seja mais fácil e gratificante para hackers qualificados manter uma carreira viável na defesa”, disse Katie Moussouris, diretora de políticas da HackerOne e responsável pela criação do programa de recompensas da Microsoft.
Prins e Abma criaram a HackerOne com Merijn Terheggen, empreendedor holandês que vive no Vale do Silício. Os três encontraram o quarto sócio por intermédio da operação Hack 100, quando mandaram um e-mail alertando Sheryl Sandberg, chefe de operações do Facebook, sobre uma vulnerabilidade nos sistemas da rede social. Sandberg não só lhes agradeceu como também imprimiu a mensagem deles e a entregou a Alex Rice, à época o guru de segurança de produto do Facebook, pedindo a ele que consertasse o problema. Rice trabalhou com os hackers na busca por uma solução, pagou-lhes um prêmio de US$ 4.000 e entrou para a sociedade no ano seguinte.
As empresas de tecnologia começaram a gratificar hackers cinco anos atrás, quando o Google passou a pagar US$ 3.133,70 por bug descoberto (31337 é um código de hackers para “elite”). Desde então, o Google já pagou mais de US$ 4 milhões a hackers, chegando a entregar US$ 150 mil numa só recompensa. Rice e Moussouris ajudaram a criar os programas de recompensa do Facebook e da Microsoft. Outros estão descobrindo que simplesmente dar crédito aos hackers não funciona mais.
“Muitas empresas têm hackers —elas só não sabem disso”, afirmou Terheggen. “Os vilões já estão lá. Os mocinhos só aparecem se forem convidados.”
Cerca de 1.500 hackers estão na plataforma HackerOne. Eles já consertaram cerca de 9.000 erros e receberam mais de US$ 3 milhões em prêmios.
O HackerOne concorre com os programas de recompensa que seus criadores ajudaram a implantar no Facebook, na Microsoft e no Google. O HackerOne também compete com o Bugcrowd, start-up semelhante que cobra uma taxa anual das empresas para gerir seus programas de recompensas. O Bugcrowd trabalha com empresas jovens, como o Pinterest, e com instituições como a Western Union.
“Toda tecnologia tem vulnerabilidades, e, se você não tiver um processo público para que hackers honestos as apontem, só ficará sabendo delas por meio de ataques no mercado negro”, disse Rice.