Os hackers estão com a bola toda e receberam recentemente cerca de US$ 1 milhão por conta da interminável caça aos bugs. Pelo menos esta é a principal conclusão do relatório anual sobre a situação dos hackers éticos publicado pela plataforma HackerOne. A partir de 2020, a organização poderá contar com uma base de 600.000 hackers white hat; uma comunidade duas vezes maior que no ano anterior, que faturou US $ 40 milhões em prêmios nos últimos 12 meses.
O HackerOne, que conecta empresas a hackers éticos que caçam falhas de segurança em troca de recompensas, disse que o dinheiro ganho em recompensas este ano foi quase igual ao valor total concedido em todos os anos anteriores combinados.
Hackers ganham até US$ 1 milhão de recompensa e a maior parte vem de grandes empresas
Organizações de alto nível – que segundo o relatório incluem General Motors, Google, Goldman Sachs, Toyota e IBM – estão compreensivelmente interessadas em garantir que os pesquisadores de segurança do HackerOne descubram as vulnerabilidades em seus produtos e serviços antes que hackers mal-intencionados o façam.
Desde o lançamento em 2012, as empresas pagaram aos hackers éticos da plataforma um total de US $ 82 milhões em troca da detecção bem-sucedida de mais de 150.000 vulnerabilidades.
Os prêmios em dinheiro individuais também estão aumentando. Em 2018, o HackerOne viu o primeiro hacker receber uma recompensa de US $ 1 milhão; no ano passado, sete deles receberam essa quantia do total de ganhos. Além disso, o número de hackers que ganharam US $ 100.000 quase triplicou desde 2018, chegando a 146.
Isso coloca o potencial de ganhos potenciais de uma carreira de hacker bem acima do salário médio global de TI de US $ 89.732, diz o relatório.
Então, quem exatamente está distribuindo o dinheiro?
Embora empresas privadas estejam se envolvendo cada vez mais, o relatório destacou que os governos federais estão mais interessados em usar as habilidades dos hackers éticos.
Governos e agências governamentais são decididamente progressistas quanto ao uso e promoção dessa abordagem comprovada à segurança cibernética, disse HackerOne, observando um crescimento de 214% na demanda ano a ano por parte de organizações públicas.
O Departamento de Defesa dos EUA, em particular, administra programas em parceria com o HackerOne, apelidado de “Hack the Pentagon”, “Hack the Army” e “Hack the Air Force”.
A Comissão Européia também se uniu à plataforma de hackers éticos e lançou vários programas de recompensa de bugs como parte de seu projeto de Auditoria de Software Livre e de Código Aberto (FOSSA).
Desemprego zero
O crescente interesse em hackers éticos ocorre quando os setores enfrentam uma escassez significativa e crescente de habilidades de segurança. Como o relatório da HackerOne enfatizou, a taxa de desemprego para pessoal treinado em segurança cibernética é de 0%, sugerindo que a demanda por trabalhadores nessa profissão é aguda e acompanhada por oferta insuficiente.
Um estudo recente, de fato, mostrou que existem quase três milhões de pessoas trabalhando em segurança cibernética em todo o mundo e que precisaremos de outros quatro milhões para preencher os empregos de segurança atuais e futuros.
Parte do problema está na falta de treinamento formal para especialistas em segurança: por exemplo, não há níveis A ou GCSEs em segurança. O relatório publicado pela HackerOne reflete esse vácuo. Nada menos que 84% dos hackers white hat pesquisados disseram que aprenderam seu ofício através de recursos on-line e materiais educacionais auto-direcionados. “O treinamento para hackers continua ocorrendo fora da sala de aula tradicional”, diz a pesquisa.
Com os ciberataques aumentando em número e complexidade, no entanto, é provável que organizações públicas e privadas continuem usando os serviços de hackers éticos. Estima-se que o cibercrime custará ao mundo US $ 6 trilhões anualmente até 2021. Com isso, torna-se mais lucrativo do que o comércio global de todas as principais drogas ilegais combinadas.
Empresas despreparadas
Embora o HackerOne tenha visto sua base de usuários e prêmios de recompensas por bugs crescerem, a plataforma disse que muitas organizações desconhecem os benefícios do hacking ético. Quase dois terços dos pesquisadores de segurança pesquisados relataram que falharam em relatar alguns dos erros que descobriram, em alguns casos porque não havia canal disponível para relatar descobertas à organização.
A grande maioria (93%) das empresas da Forbes 2000 não tem um meio fácil de relatar possíveis problemas de segurança. O HackerOne, portanto, recomenda a implementação de uma Política de Divulgação de Vulnerabilidades (VDP) para oferecer uma maneira simples de hackers reportarem falhas. Como se observa: “Se você vir algo, diga”.
ZDNet