Nessa quinta-feira, 9 de setembro, o Nubank lançou um programa que pode ser considerado até um pouco estranho para muitas pessoas: trata-se do Bug Bounty. A novidade pretende recompensar financeiramente hackers brasileiros que encontrarem vulnerabilidades em seus sistemas.

Sim, é isso mesmo. Mas não estamos falando de quaisquer hackers e, sim, de hackers do bem, pesquisadores de segurança cibernética. O programa acontecerá em parceria com a HackerOne, maior comunidade de pesquisadores de segurança do mundo e será liderado pela área de Segurança da Informação (Infosec) do banco digital

A nota divulgada dizia que "o Nubank não mede esforços para que a experiência dos nossos clientes seja a mais tranquila possível, aprimorando constantemente suas ferramentas internas de segurança. Por isso, contar com a contribuição da comunidade de pesquisadores em segurança é mais uma forma que encontramos de proteger os nossos sistemas".

Bug Bounty? O que isso significa?

Bug, em inglês, significa inseto, mas também é comum que a palavra seja usada para se referir a defeitos ou erros que afetam o funcionamento de um software. Bounty significa recompensa.

Bug Bounty é, portanto, um programa de recompensas para aqueles que reportarem problemas relacionados a possíveis vulnerabilidades no sistema de alguma organização.

A iniciativa tem como objetivo detectar possíveis brechas antes que elas se concretizem como um problema de segurança cibernética. O pesquisador faz uma análise de segurança de códigos, identifica o bug, reporta para a plataforma HackerOne, e, em troca, recebe uma recompensa financeira. Depois, cabe à empresa (neste caso, ao Nubank) corrigir os bugs mapeados no app.

A prática é segura, e centenas de instituições renomadas já utilizam como estratégia para aumentar a proteção de seus sites e aplicativos.

Como funcionará o programa de Bug Bounty?

O Nubank convidou os pesquisadores brasileiros mais bem avaliados na HackerOne para buscarem bugs e qualquer vulnerabilidade em seu aplicativo. "A ideia é proteger nosso sistema com uma camada extra e manter nossos clientes ainda mais seguros", dizia o comunicado.

A HackerOne é a maior plataforma de hackers éticos do mundo. Ela une pesquisadores de segurança a empresas comprometidas em proteger seus sistemas.

Agora, o Nubank passa a ter uma página na plataforma, onde esses pesquisadores convidados poderão reportar os possíveis detalhes técnicos dos bugs encontrados no aplicativo e receber uma recompensa em dinheiro.

Cabe à HackerOne intermediar a relação entre os pesquisadores e o Nubank, avaliando os reportes e excluindo aqueles que forem considerados inconsistentes. A plataforma também realiza testes de vulnerabilidade com base nos detalhamentos fornecidos pelos hackers do bem.

Depois de todo esse processo na plataforma, o Nubank faz a validação das informações enviadas pela HackerOne, corrige o bug mapeado, e libera o pagamento para o pesquisador que o encontrou.