Novidades

C6 Bank lança programa de “bug bounty”

Iniciativa é uma parceria do banco com a HackerOne, maior comunidade de pesquisadores de segurança do mundo


O que um grupo de hackers pode fazer de bom? Muita coisa, se considerada a comunidade da HackerOne, maior plataforma de hackers éticos e pesquisadores de segurança do mundo. Com mais de 350 mil indivíduos e cerca de 600 novos registros diários, o grupo se dedica a encontrar vulnerabilidades em aplicações de empresas. Funciona como um alerta às corporações — antes de a falha virar um problema, o pesquisador, em seu incansável trabalho de varredura de códigos, identifica o bug. Em troca, ele recebe uma recompensa financeira (ou bug bounty, em inglês).

Pensando em aproveitar a força conjunta desses milhares de pesquisadores de segurança, o C6 Bank, novo banco brasileiro que recebeu autorização do Banco Central para operar em janeiro deste ano, fechou uma parceria com a HackerOne para criar um programa de bug bounty. Nos próximos meses, quando o banco for aberto ao público geral, os integrantes dessa comunidade poderão tentar identificar vulnerabilidades nas aplicações do banco.

Soa ousado para você? Instituições de peso e renome internacional adotam essa prática. Entre os nomes que já fizeram uso da plataforma da HackerOne estão o Departamento de Defesa dos Estados Unidos, a GM, a Lufthansa, além de várias outras empresas de tecnologia. Você pode ver a lista de parceiros da HackerOne aqui. As recompensas pagas aos pesquisadores de segurança da HackerOne passam de US$ 49 milhões.

O bug bounty do C6 Bank faz parte de uma estratégia robusta de segurança que contempla o uso de alta tecnologia e várias formas de identificação de vulnerabilidades. O banco já faz, por exemplo, testes internos de homologação, penetration tests (testes realizados dentro da empresa) e auditorias com consultorias externas.

O programa de bug bounty soma a esses esforços dois fatores importantes: a massa crítica e a diversidade de conhecimento dos milhares de pesquisadores da plataforma da HackerOne. Quanto mais pesquisadores testam um app, maiores as chances de serem encontrados bugs e mais rapidamente ocorre a correção.

Como relatar um bug

O C6 Bank terá uma página dentro da plataforma da HackerOne. Nela, os pesquisadores de segurança poderão informar os detalhes técnicos dos bugs encontrados. A HackerOne ficará responsável pela triagem dos relatos, descartando os imprecisos, e pelos testes de vulnerabilidade. Ao C6 Bank caberá a validação da notificação, a correção do bug e a aprovação do pagamento da recompensa, um procedimento mediado pela HackerOne. O valor desembolsado pelo banco dependerá do nível de criticidade da vulnerabilidade.

C6 Bank, um novo banco

O C6 Bank é um banco brasileiro que funciona sem agências físicas e oferece isenção de tarifas para serviços como manutenção da conta corrente, transferências, saques nos caixas eletrônicos da rede Banco24Horas e cartão de crédito. Hoje, o aplicativo da instituição financeira está em uso por funcionários e convidados. Mas a empresa já liberou os pedidos de convite para quem deseja ser um C6 Beta Tester. O lançamento do banco para o público geral deve ocorrer ainda neste primeiro semestre.