Topo

'Bug hunters': caçar defeitos em sites vira profissão cobiçada e milionária

Guilherme Scombatti, bug hunter brasileiro que mora em Portugal - Guilherme Scombatti/arquivo pessoal
Guilherme Scombatti, bug hunter brasileiro que mora em Portugal Imagem: Guilherme Scombatti/arquivo pessoal

Leandro Vieira

Colaboração para o TAB

17/04/2021 04h01

Quando o relógio marca 18h, o especialista em sistemas de informação Guilherme Scombatti relaxa. Fim de expediente. Deixa o cômodo feito escritório de casa, onde trabalha há mais de um ano, e vai tomar um banho, passear com o cachorro, jantar. Acabou a lida? Nem pensar. Scombatti não se estira no sofá para assistir a um filme ou série, não passa horas lendo um livro nem deita na cama para descansar. Em boa parte das noites, o que faz é retornar ao escritório, onde liga novamente o computador. É hora de caçar bugs.

O paulista de 33 anos, magro, de cabelos lisos e mãos inquietas, engrossa as fileiras de uma atividade que atrai cada vez mais gente pelo mundo, seja pela promessa de ficar rico, seja pela mística aventureira que a cerca. O bug bounty é uma espécie de caça ao tesouro patrocinada por empresas. Nela, hackers "do bem", conhecidos como bug hunters, ganham prêmios — em geral, em dinheiro — se encontrarem falhas em seus sistemas, o que permite que as companhias as consertem rapidamente, evitando maiores danos.

Em videoconferência, aninhado sobre uma cadeira gamer e com problemas para manter fixo na orelha o fone esquerdo, Scombatti conta que, há cerca de dois meses, encontrou o que é conhecido na comunidade como um bug de cinco dígitos. Ou seja, uma falha de alto impacto, cuja descoberta rendeu uma recompensa acima de US$ 10 mil.

Ele, que é o especialista número um no ranking da BugHunt, única plataforma de bug bounty do Brasil, não disfarça as razões para ter entrado na profissão. "Tem alguns programas que não pagam nada e aqueles que pagam. Eu atuo sempre com os que pagam. A adrenalina motiva porque traz o dinheiro. Quanto mais focado fico, quanto maior a criticidade do bug, maior a recompensa."

Quando volta ao computador, costuma passar duas horas direto trabalhando. Nos finais de semana, de quatro a cinco. Dentro dessa profissão, ele explica, há dois tipos de gente: as que atiram para todos os lados, criando processos automáticos de busca de falhas em vários programas, e as que preferem focar em alguns poucos. Scombatti é do tipo minucioso. Escolhe dois ou três programas em que tem mais interesse e passa semanas ou até meses debruçado sobre eles.

Na descrição, o trabalho pode ser bem maçante. Ele passa a maior parte do tempo testando, uma a uma, as várias funcionalidades de uma página. E vai pelos detalhes. Tenta mandar um arquivo malicioso no espaço de carregamento de uma imagem, explora uma permissão de acesso indevida, encontra um dispositivo que não realiza a ação esperada. "Passo meses dentro de um programa. Mas é de pessoa para pessoa. Tem quem vai no automático e quem vai no clique. Esse é o processo de que eu gosto."

Fome de aprender

Para facilitar a vida dos bug hunters e das próprias empresas que se beneficiam de seu trabalho, plataformas fazem a ponte. Dentro desses espaços, as empresas listam seus sites que permitem a busca por bugs. Elas também disponibilizam uma lista com regras, que incluem quais falhas devem ser buscadas e quais não. E, é claro, estabelecem os valores das recompensas.

O impacto de um bug pode ser classificado em baixo, médio, alto e crítico, de acordo com o potencial negativo da falha. Um bug que permita o vazamento de dados de usuários, por exemplo, deve ser considerado crítico.

É possível para um hunter acumular vários bugs em níveis mais baixos, mas é aí que mora o perigo. Por serem mais facilmente encontrados, já podem ter sido identificados antes, caso que não gera recompensa. Já os mais altos são complexos de achar e geralmente são os que dão mais lucro — podem chegar a US$ 20 mil ou mais, no caso de gigantes como Netflix ou Apple. Algumas empresas também oferecem brindes como camisetas, jaquetas, canecas e baralhos personalizados. São os chamados swags, itens colecionáveis bastante disputados dentro da comunidade.

O Brasil ainda não tem tantos adeptos do bug bounty quanto os EUA ou a Europa, mas a prática também vem crescendo por aqui. Em 2020, nasceu por aqui o BugHunt, primeira plataforma brasileira de bug bounty. Os irmãos e sócios da empresa, Caio e Bruno Telles, querem atrair e educar não só os caçadores, mas também as companhias nacionais, que ainda enxergam todos os hackers como criminosos virtuais.

"Existe uma fome muito grande para aprender, e as empresas estão começando a abrir a mente para aceitar os programas de bug bounty", diz Caio Telles. Segundo ele, a base de usuários da plataforma tem crescido na proporção de 30% ao mês. A aposta é que o mercado nacional se desenvolva ainda mais nos próximos anos.

Guilherme Scombatti, bug hunter brasileiro que mora em Portugal - Guilherme Scombatti/arquivo pessoal - Guilherme Scombatti/arquivo pessoal
Guilherme Scombatti
Imagem: Guilherme Scombatti/arquivo pessoal

100% caçador digital

Pela tela do computador, o mineiro de Uberlândia Guillermo Gregorio, 33, tenta explicar em "português normal" — sem usar os termos e jargões típicos da atividade, mas inescrutáveis para nós, leigos — como funciona a caçada. Algumas coisas, porém, se perdem na tradução.

Seu foco são falhas de segurança de autenticação. "Mas é um pouco mais complexo, porque dentro da autenticação existem cinco vertentes diferentes: escalação de privilégios para cima, para baixo, vertical, horizontal?", ele tenta se fazer entender. Mas acaba se rendendo: "Enfim, é um trem que ou você ama ou você odeia."

Gregorio destaca, no entanto, que o mais importante no início é compreender como o programa opera e suas principais funcionalidades. E às vezes é preciso correr atrás de documentações digitais anteriores para entender em que locais estavam os erros no passado. A partir disso é que se começa a procurar as pequenas falhas nos servidores.

Ele trabalha na área há cerca de dois anos, mas há 15 anos lida com segurança digital. É um dos poucos brasileiros que vivem exclusivamente da atividade. Na época, deixou a empresa da qual era sócio para se dedicar 100% ao bug bounty. E não se arrepende. "Financeiramente compensou, mas a principal motivação é que era um sonho que eu tinha, de trabalhar exclusivamente com isso."

Não que a atividade seja um mar de rosas. Como Gregorio faz questão de lembrar, é um trabalho normal, com rotina, horários específicos e uma dedicação e esforço até acima da média dos empregos mais tradicionais. Embora tenha uma certa vergonha de falar, ele admite: trabalha bem mais do que as oito horas de uma jornada diária. Em parte porque é necessário, já que sem toda essa energia os ganhos mensais começam a minguar. Em parte, segundo ele, porque gosta do que faz.

Entre seus principais feitos, destaca o fato de já ter ocupado a primeira posição no ranking mundial de desempenho em bug bounty da Netflix. Mas prefere não divulgar valores. "Sinceramente, nem para quem trabalha comigo eu gosto de falar, porque não faz sentido."

Discrição na veia

A discrição não é necessariamente regra no ramo, mas costuma ser adotada. Casos como o do adolescente brasileiro Andres Alonso Perez, que recebeu em 2020 uma recompensa de R$ 140 mil por encontrar uma falha crítica no Instagram, raramente vêm a público.

"A galera que está recebendo mesmo não aparece na mídia", diz o especialista em TI e bug hunter nas horas vagas Manoel Teixeira, 37. "Quem de fato faz não precisa desse destaque. Já está consolidado e não sai divulgando."

Na plataforma HackerOne, onde atua, Teixeira conta que já existem nove milionários — em dólares, vale lembrar. Recentemente, um usuário bateu US$ 2 milhões em recompensas.

O hunter brasileiro se interessou pela área a partir dos Capture the Flag (capture a bandeira), desafios de segurança que simulam cenários de vulnerabilidade na internet. Vence quem encontra uma "flag" no sistema, ou seja, um texto que surge durante a exploração de um determinado bug. E Teixeira tem talento para a coisa. Entre 2018 e 2020, ganhou três desses desafios na HackerOne, uma das maiores plataformas de bug bounty do mundo. Como recompensa, recebeu prêmios em dinheiro e viagens com tudo pago para Las Vegas e São Francisco.

Hoje, ele trabalha como bug hunter nos horários livres, sem um cronograma fixo. Quando pode, automatiza processos, que operam enquanto está ocupado com outras coisas. "Costumo relacionar bug bounty ao cara que é empreendedor. Quando você empreende, o negócio depende só de você e do seu trabalho." Para Teixeira, o dinheiro não é a única motivação. Há também a emoção da caça, a adrenalina da descoberta. "É indescritível mesmo. Claro que, com o passar do tempo, vai diminuindo. Mas, quando a falha é crítica, a sensação não muda."

Assim como colegas do ramo, Teixeira prefere a discrição, e de uma forma até mais literal. Durante a conversa com o TAB, por videoconferência, manteve a câmera fechada. No lugar de sua cara, surgiu o desenho pixelado de um rosto masculino, pintado em tons de verde e vermelho. Com um quê futurista, a face se divide em duas metades, uma delas aparentando estar em carne viva. Mais tarde, ele esclareceu se tratar da imagem que estampa a capa de um álbum da banda de rock nacional Pense, da qual é fã. E também pediu para não ter sua imagem incluída na reportagem.

Sorte e vontade

Como toda profissão, o bug bounty tem seus prós e contras. Apesar de seu potencial lucrativo, ela também pode ser instável e pouco segura. Até por isso pouca gente no Brasil se arrisca, por enquanto, a deixar o trabalho fixo e garantido para se aventurar.

Guilherme Scombatti, por exemplo, ganhou nos primeiros três meses de 2021 o suficiente para não precisar trabalhar o restante do ano. Abril, ele conta, não tem ido tão bem. Por esse motivo, ainda prefere manter o emprego fixo. "No bug bounty, tem mês em que você faz US$ 1.000 e mês em que faz US$ 10 mil", explica.

Segundo ele, que já encontrou bugs para empresas do naipe da Google, Spotify e Uber, o sucesso na área é questão de sorte, mas também de vontade. E não é todo programa que ele está disposto a gastar meses explorando. "Tem empresa que não me atrai em nada. Não é nem pelo dinheiro. Pode pagar muito, mas simplesmente não sinto vontade de perder tempo ali."