O ano de 2020 registrou uma alta no número de ataques cibernéticos em todo o mundo. Segundo a Fortinet, só no Brasil, foram mais de 3 bilhões de tentativas de ciberataques. Diante desse cenário, quando se fala em hacker, a reação da maioria das equipes de TI é sentir receio. Há tempos, esse termo é associado apenas aos criminosos da internet, que aproveitam brechas de segurança. No entanto, tem sido comum a propagação do hacker do bem, profissional que contribui para o aumento de segurança e estabilidade do sistema de um negócio.

A OLX é um dos exemplos de pioneirismo nessa frente. Buscando manter a confiança de seus 33 milhões de clientes que mensalmente acessam a plataforma, a companhia global de comércio eletrônico e maior site de compra e venda do Brasil passou a integrar o time de empresas que contam com os serviços dos especialistas inscritos na BugHunt, primeira plataforma brasileira de Bug Bounty, programa de recompensa por identificação de falhas.

De acordo com a BugHunt, as empresas têm mudado sua percepção e estão mais engajadas em evoluir a maturidade de segurança em seus processos e sistemas. “Isso é fundamental para que os negócios não parem, pois o cibercrime também evolui e, para conseguir acompanhar esta evolução, é preciso investir em cibersegurança. Atualmente, a melhor opção são os programas de recompensa por bugs, pois promovem pioneirismo no mercado”, explica Caio Telles, CEO da empresa.

O Grupo OLX participa dos programas de Bug Bounty no exterior desde 2017 e identifica que as pesquisas contribuem para a melhoria da plataforma. “Em junho de 2020, decidimos trazer o programa para o Brasil por meio de BugHunt e nos aproximar mais dos pesquisadores brasileiros, já que a maioria dos relatórios estrangeiros recebidos vinha de pesquisadores daqui”, destaca Raúl Rentería, CTO da OLX Brasil.

Segundo o executivo, a vigência da LGPD foi um dos fatores que influenciaram na decisão. “A LGPD foi um dos motivadores para trazer o programa para o Brasil, já que o número de relatórios recebidos por pesquisadores estrangeiros contendo falso positivo para dados pessoais brasileiros é muito alto. Entendemos que os pesquisadores no Brasil têm uma visão mais assertiva quando se trata dos nossos dados. A jornada da LGPD começou em meados de 2018 e atravessou 2020 contemplando a classificação de dados, automação e adequação da política de uso”, destaca.

Com quase meio milhão de anúncios todos os dias e uma média de 2 milhões de vendas por mês – cerca de 50 por minuto –, a OLX é uma das empresas de tecnologia que mais cresce no Brasil. Para o CTO da OLX Brasil, a companhia, que já exercia o regime de trabalho remoto desde 2018 com diversas equipes, não foi impactada diretamente pela pandemia, mas mantém a segurança como ponto focal durante esse período. “Enxergamos os pesquisadores e especialistas em cibersegurança como parceiros para a melhora da nossa plataforma e acreditamos que esta relação traz benefícios para ambos os lados”, conclui.

A plataforma de Bug Bounty

A BugHunt acompanha de perto as falhas e vulnerabilidades de sistemas e soluções ao reunir especialistas em busca de reconhecimento e instituições comprometidas com a segurança da informação e privacidade de seus clientes. A partir da ferramenta, as empresas podem abrir programas em duas modalidades: pública e privada. Na primeira, o programa fica disponível para qualquer participante. Na segunda, a companhia pode escolher profissionais na lista dos dez melhores hackers. “Nos dois serviços, gerenciamos a definição de escopo e recompensa, a escolha de especialistas, a avaliação e triagem de relatórios e a verificação e correção de falhas nos serviços”, explica Telles.

Os especialistas cadastrados, então, identificam bugs em sistemas, aplicativos, websites e dispositivos físicos, como totens e máquinas de cartão. A empresa que contratou o serviço avalia os relatórios de vulnerabilidades enviados e, se aprovados, o pesquisador recebe sua recompensa. Um especialista pode ganhar até R $10.000,00 pela descoberta de cada vulnerabilidade. O foco é identificar falhas que possam representar riscos às empresas, como vazamento de dados, que impactam na LGPD; invasão; ataques por ransomware; ou outro risco que traga prejuízo financeiro, operacional ou de imagem. Em média, as companhias em geral levam 196 dias para perceber que foram atacadas e com a BugHunt, os especialistas identificam falhas e enviam relatórios às instituições em poucos minutos.

Nos últimos meses, a BugHunt também observou um aumento no interesse por programas de Bug Bounty, tanto por especialistas, quanto por empresas. “Instituições dos mais diversos segmentos, como bancos e fintechs, marketplaces, empresas de varejo, startups de tecnologia, portais de notícias, operadoras de telefonia, indústrias e até mesmo grupos de educação, têm nos procurado. Um dos nossos objetivos é democratizar o acesso à segurança e, por isso, está na nossa essência o atendimento de empresas de qualquer tamanho e segmento”, pontua Telles. Atualmente, a plataforma conta com mais de 3.000 especialistas inscritos e já identificou mais de 750 falhas em instituições brasileiras.

Para o executivo, conforme uma empresa acata às sugestões dos especialistas, o número de relatórios deve diminuir, e isso é um indicador de que a maturidade da companhia está aumentando. “Os programas de recompensa por vulnerabilidades permitem o olhar dos especialistas da plataforma de maneira constante e contínua, então isso auxilia e cria a necessidade das empresas ajustarem seus processos internos para a correção das vulnerabilidades relatadas, o que também acaba promovendo a maturidade em segurança”, ressalta. “Hoje, não é possível atingir uma maturidade em segurança sem o auxílio de especialistas e hackers éticos. Aquelas empresas que contam com a comunidade de pesquisadores para auxiliar na proteção de seus negócios são as que estão na frente da corrida pela segurança”, finaliza.

Sobre a BugHunt

A BugHunt é a primeira plataforma brasileira de Bug Bounty, programa de recompensa por identificação de falhas, que une empresas comprometidas com a segurança da informação e privacidade de seus usuários e/ou clientes a pesquisadores do setor. Com foco em inovação para reconhecimento e resolução de bugs e vulnerabilidades, a startup tem como objetivo democratizar o acesso à segurança de dados. Por meio de programas públicos e privados, a BugHunt gerencia a definição de escopo e recompensa, a escolha de especialistas, a avaliação e triagem de relatórios e a verificação e correção de falhas nos serviços avaliados.

Sobre a OLX Brasil

No Brasil desde 2010, a OLX Brasil tem a missão de empoderar as pessoas a alcançarem seus sonhos, reinventando o modelo de consumo. A empresa é 100% digital e faz isso por meio de tecnologia desenvolvida localmente, ajudando seus usuários a comprar e vender quase tudo de maneira rápida, segura e conveniente. Ao encorajar o reuso, a OLX Brasil contribui com a redução de lixo, de emissões de CO2 e incentiva o uso de recursos naturais, dando aos itens segunda, terceira e até uma quarta vida.

Com a aquisição do Grupo ZAP, concretizada em novembro de 2020, a OLX Brasil passa a contar com duas unidades de negócios: OLX, que segue operando como plataforma horizontal com as categorias de Autos, Imóveis, Bens de Consumo, Empregos e Serviços, além da carteira digital OLX Pay; e ZAP+, totalmente focada em imóveis e responsável pelas marcas ZAP, VivaReal, Data ZAP, Anapro, Inc Pro, Geoimovel, Imobilinks, Conecta Imobi e ZAP Fin. O ZAP+ também passa a comercializar todos os produtos de imóveis das diferentes marcas do grupo.

A aquisição envolveu a compra de 100% das ações do Grupo ZAP. Os acionistas da OLX Brasil continuam sendo os dois dos principais grupos globais de mídia e investimento em marketplaces: Prosus N.V. (50%), listada na bolsa de Amsterdam e majoritariamente controlada pela Naspers Ltd, e Adevinta ASA (50%), listada na bolsa de Oslo e controlada pelo grupo norueguês Schibsted.