Bom dia, Droppers.
Sexta-feira de pré-carnaval e entre globelezas e tanques de guerra, começamos o final de semana seguido de feriado prolongado (para alguns). Na segunda-feira nossa edição não vai ao ar e, na quarta, esperamos começar com notícias melhores.
Na edição de hoje:
Bug Hunters: os caçadores de recompensas digitais.
O que rolou mundo afora (especial Russia+Ucrânia): Twitter, CyberAtack, Anonimous, Patreon, Sean Penn, Cripto
O que rolou Brasil adentro: ClickClash, Talura, Ways, Tiffin Foods, Flow Finance
Bug Hunters: os caçadores de recompensas digitais!
bug hunters, bug bounty, caçadores de recompensas, vulnerabilidade, hackers do bem
Na semana passada, um jovem hacker que usa o nome ‘Tree of Alpha’, encontrou uma vulnerabilidade nos sistemas de uma das maiores corretoras cripto do mundo, a Coinbase, que permitia um usuário vender quantos bitcoins (ou outras moedas) quisesse sem, necessariamente, ter nenhum na carteira.
Ao invés de explorar a brecha, ficar bazilionário, quebrar o mercado cripto inteiro, o jovem reportou a brecha para a corretora que, depois de rapidamente corrigir o erro, pagou uma recompensa ao hacker do bem de U$250k.
Os caçadores (Hunters)
A busca por vunerabilidades em sistemas online já se tornou uma profissão. Com um salário médio de $37k/ano nos Estados Unidos, desenvolvedores são contratados para explorar o código de softwares e encontrar aberturas não planejadas que, se descobertas por um hacker mal-intencionado, podem gerar prejuízos catastróficos.
Mas não só de CLT vivem os caçadores de recompensas. A maioria deles, não trabalha assalariado, e sim por recompensas. Algumas empresas já intermediam a relação empresa vs hunter, criando comunidades de profissionais que são ranqueados de acordo com suas descobertas. Sendo as maiores:
No Brasil: BugHunt e a The Bug Hunters
No Mundo: HackerOne e a BugCrowd
Outro modelo é o de empresas como a Zero Day's Initiative (ZDI) da Trend's Micro, que compra o “achado” diretamente do hacker, antes de reportá-lo à empresa. Independente do modelo, o comum entre elas, é o alinhamento de incentivos: hackers trabalham para encontrar, e não explorar, as falhas.
As Presas (Hunted)
O tamanho do prêmio ainda é uma das maiores discussões do setor. Em 2020, o Google pagou $6.7milhões para +600 hunters de +60 países, sendo que o maior prêmio foi de $132k.
Entre a classificação de risco baixo, médio ou crítico, o valor das recompensas vai subindo e grande parte das empresas já institucionalizaram seus programas:
Apple Security Bounty: máximo de $200k
Google Bug Hunters: “máximo” de $37k
Intel Bug Hunting: máximo de 30k
Yahoo Issue Report: máximo de $15k
Cisco Security Vulnerability: máximo de $2.5k
Dropbox Security: máximo de $32k
Facebook White Hat: sem máximo
Microsoft Bounty: máximo de $250k
Durante os dias que ficou fora do ar nesta semana, os sites da Americana e Submarino, deixavam de faturar $100mi por dia (e foram 4 dias off). Ontem, o site da farmacêutica EMS foi atacado e continua fora do ar até o lançamento desta edição. Ao mesmo tempo que aumentar o valor dos programas pode soar como incentivo, também funciona como uma prevenção de catástrofes
Compartilhe pelo
WhatsApp
, pelo
Twitter
, pelo
LinkedIn
ou pelo
Facebook
mesmo!
O que rolou mundo afora
Bem dificil abrir um app social ou mesmo a TV nos últimos dias e não ficar chocado com o que está rolando na Russia e Ucrânia. Fizemos um apanhado do que rolou universo da tecnologia em meio ao caos das invasões:
Twitter: o perfil oficial da Ucrânia, além de postar um meme comparando Putin a Hitler, também tentou mobilizar o suporte da rede social para bloquear o perfil @Russia.
Cyber Atack: as guerras de hoje não são mais feitas “só” de tanques, caças e bombas. Os sites governamentais da Ucrânia também estão sob ataque.
Anonimous: o mais famoso grupo hacker, comprou o outro lado da briga e criou uma campanha de ataque aos sites governamentais russos.
Patreon: indo na contramão de todos, suspendeu o perfil de uma ONG que arrecadava fundos para o exército Ucrâniano.
Sean Penn: o ator hollywoodiano já está na Ucrânia para a filmagem de um documentário sobre o ataque/invasão.
Cripto: com a lei marcial ativada na Ucrânia, os sistemas bancários do país pausados, a população começa a correr para as corretoras cripto, Kuna sendo a mais popular delas.
O que rolou Brasil adentro
ClickCash, a fintech de empréstimos pessoais rápidos de R$500 a R$10k, fechou uma rodada de investimento de R$6mi.
Talura, a logtech de cotações de fretes internacionais para empresas, faz captação de rodada seed liderada pela Comexport.
Ways, a edtech oferecendo cursos extracurriculares para crianças e adolescentes, capta R$300k via Criabiz Ventures + 130 investidores anjos.
Tiffin Foods, o marketplace B2B digitalizando a conexão entre lojistas e fornecedores de produtos saudáveis e orgânicos, levanta R$3mi.
Flow Finance, a fintech catarinense que fornece infraestrutura para empresas oferecerem serviços financeiros, é a mais nova aquisição da Celcoin