Empresa oferece US$ 1,5 milhão por código que ataque iPhone

A empresa Zerodium, especializada na comercialização de “armas digitais”, está oferecendo US$ 1,5 milhão (cerca de R$ 4,8 milhões) por um código capaz de atacar e invadir remotamente um aparelho com iOS 10, como um iPhone ou iPad.

O valor é três vezes maior que o valor normal pago pela Zerodium (US$ 500 mil) e mais de sete vezes maior que o teto do que é pago pela Apple (US$ 200 mil) aos participantes do limitado programa de recompensas oferecido pela empresa. A Zerodium, por ter interesse na comercialização da falha como “arma”, não repassa informações aos desenvolvedores do software, o que significa que a vulnerabilidade permanece aberta para ser explorada.A Zerodium diz que pagará o valor de US$ 1,5 milhão por uma “sequência de exploits”, ou seja, o pesquisador é obrigado a encontrar várias falhas, se necessário, para atingir o objetivo de invadir remotamente o iPhone. Invasões remotas são aquelas que ocorrem pela rede, ou seja, quando não há contato físico com o celular. Pode ocorrer com o recebimento de um torpedo SMS ou com a visita a uma página web.

Quando foi fundada, a Zerodium ofereceu US$ 1 milhão por um ataque semelhante, mas a oferta era única. Agora, a companhia está disposta a adquirir “múltiplas” sequências de ataque capazes de invadir o iOS 10 pelo mesmo valor.

A oferta por brechas no Android também foi dobrada (para até US$ 200 mil). Segundo a Zerodium, os novos valores são justificados pelo aumento da segurança dos sistemas. Por isso, é preciso pagar mais para manter os pesquisadores interessados na descoberta dessas falhas.

Por que empresas pagam por falhas em software:

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para g1seguranca@globomail.com. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

A coluna Segurança Digital de hoje aborda o tema dos programas de recompensa ou “bounty” mantidos por diversas empresas – principalmente na área de software – para incentivar que pesquisadores independentes comuniquem falhas em seus produtos. Como todos os textos da série “G1 Explica”, o assunto foi desmembrado em uma série de perguntas e respostas. Confira!

1. O que são os programas de recompensa por falhas ou “bug bounty”?
São iniciativas que recompensam ou remuneram pesquisadores independentes que comunicam falhas de segurança em um canal particular e exclusivo. Esses programas são em geral mantidos pelas próprias empresas (por exemplo, o Facebook paga por quem comunicar falhas no próprio Facebook), mas há também programas financiados por terceiros. Um exemplo é o”Internet Bug Bounty”, que recompensa falhas em diversos programas usados em larga escala na internet e que são importantes para a infraestrutura da rede. Essa iniciativa é atualmente financiada pela Microsoft, pelo Facebook e pela HackerOne.

2. Quais empresas têm programas de recompensa?
O site Bugcrowd tem uma tabela com diversas empresas que oferecem incentivos para pesquisadores . Em muitos casos, o incentivo limita-se a uma menção em um “hall da fama”. No entanto, há mais de 200 empresas que oferecem recompensas mais substanciais, seja na forma de dinheiro ou produtos.

3. Por que as empresas pagam por esse tipo de informação?

Essa é uma pergunta difícil de ser respondida. Porém, o fato é que não pagar pode acabar saindo mais caro.

Uma das condições para receber o pagamento é que nenhum detalhe técnico sobre a falha deve ser divulgado antes que ela seja corrigida e, às vezes, nem depois. Isso protege consumidores e também a reputação da empresa. No passado, era comum a prática de “full disclosure”, em que o pesquisador publicava todas as informações de uma brecha, colocando em risco quem usava o programa ou serviço vulnerável.

14 Comments

  1. I just want to say I am very new to blogging and site-building and honestly enjoyed this web site. Probably I’m likely to bookmark your blog . You actually have terrific well written articles. Cheers for sharing your website.

  2. Sorry for the huge review, but I’m really loving the new Zune, and hope this, as well as the excellent reviews some other people have written, will help you decide if it’s the right choice for you.

  3. I discovered your blog post site on the search engines and check a few of your early posts. Always keep in the top notch operate. I extra your Feed to my MSN News Reader. Looking for forward to reading much more of your stuff down the road!…

  4. I would like to thnkx for the efforts you’ve put in writing this site. I am hoping the same high-grade blog post from you in the upcoming as well. In fact your creative writing skills has encouraged me to get my own web site now. Really the blogging is spreading its wings quickly. Your write up is a great example of it.

  5. My brother recommended I might like this website. He was totally right. This post actually made my day. You can not imagine just how much time I had spent for this information! Thanks!

  6. Excellent blog here! Also your website loads up fast! What host are you using? Can I get your affiliate link to your host? I wish my site loaded up as fast as yours lol

  7. I like the valuable information you provide in your articles. I’ll bookmark your blog and check again here regularly. I am quite certain I will learn many new stuff right here! Good luck for the next!

  8. Thanks for sharing excellent informations. Your web site is so cool. I am impressed by the details that you¡¦ve on this site. It reveals how nicely you perceive this subject. Bookmarked this web page, will come back for more articles. You, my friend, ROCK! I found just the info I already searched everywhere and just couldn’t come across. What a great web-site.

  9. Thanks a bunch for sharing this with all of us you actually know what you’re talking approximately! Bookmarked. Please also talk over with my website =). We may have a hyperlink exchange arrangement among us!

  10. Very nice info and straight to the point. I am not sure if this is really the best place to ask but do you people have any ideea where to get some professional writers? Thanks in advance 🙂

  11. This is very interesting, You’re a very skilled blogger. I have joined your rss feed and look forward to seeking more of your magnificent post. Also, I have shared your web site in my social networks!

  12. Usually I do not learn article on blogs, but I wish to say that this write-up very pressured me to check out and do it! Your writing taste has been amazed me. Thanks, very great post.

  13. My husband and i have been absolutely joyous that Ervin managed to do his reports because of the precious recommendations he obtained out of the web page. It’s not at all simplistic just to continually be offering helpful tips which some people might have been making money from. Therefore we remember we’ve got the website owner to give thanks to for this. The explanations you made, the easy website navigation, the relationships you can make it easier to engender – it’s got many superb, and it’s really aiding our son in addition to our family do think that theme is pleasurable, which is certainly wonderfully indispensable. Thank you for everything!

Submit a Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *