Brasileiros faturam recompensa por acharem falhas em sites do Google

O Google expandiu seu programa de recompensa por falhas no início de novembro e anunciou que pagaria especialistas que encontrassem problemas de segurança em seus sites. Vulnerabilidades no YouTube e no Orkut, por exemplo, poderiam ser recompensadas com pagamentos entre US$ 500 e US$ 3,1 mil. Entre os recebedores desses valores estão pelo menos três brasileiros.

Miguel Targa, 21, mora nos Estados Unidos e não trabalha na área de informática, mas é um curioso das questões de segurança. “Gosto muito dessa área, costumo encontrar falhas em sites alheios. Vi que seria uma oportunidade essa ‘oferta’ do Google”.

Ele esteve envolvido em incidentes no Orkut e no YouTube. Depois do anúncio do programa de recompensa, “vendeu” uma falha grave no Orkut para o Google. O problema, segundo ele, poderia ter sido usado para um “vírus” que se espalharia rapidamente na rede social.

“Para eles concertarem a falha foi quase que imediato; o pagamento que é mais complicado”, revela. Ele não disse quanto recebeu pela brecha, mas enviou uma foto.

Amigo de Targa, Saad Mustapha tem 17 anos e comunicou três falhas ao Google: uma no YouTube e duas no Orkut. Recebeu dois mil dólares – mil pela do YouTube, mais mil pelas duas do Orkut. “Eu já tinha encontrado diversas falhas no Orkut e eu vi uma notícia que eles começaram a dar uma recompensa por falhas reportadas. Aí eu tirei o dia para procurar falha nos serviços do Google até que encontrei uma no YouTube e comentei com o Miguel Targa e exploramos juntos”.

O engenheiro de automação, Eduardo Colares, 27, diz ter recebido mil dólares. Ele comunicou uma falha do Orkut ao Google no dia 3 de novembro. “Depois de preencher todos os dados, e passar por um processo de cadastro como fornecedor de serviços do Google, o dinheiro chegou em minha conta no dia 6 de dezembro”.

Colares diz que, apesar de não trabalhar com segurança, “tem muita curiosidade pela área desde muito novo”.

O nome dos três brasileiros está no Hall da Fama do Google, que lista as pessoas ou empresas que colaboraram com a pesquisa de vulnerabilidades nos produtos da empresa.

Generosidade nos pagamentos

O programa de recompensa do Google cobria somente o navegador Chrome. No dia 1º de novembro, ele foi expandido para os sites da empresa e teve os valores pagos aumentados.

Dez dias após o anúncio, no dia 11, o Google fez novo anunciou no blog oficial da equipe de segurança. A companhia afirmou estaria pagando um total de US$ 20 mil a vários pesquisadores.

O Google também advertiu, no entanto, que os avaliadores foram “um tanto generosos” e que algumas falhas que normalmente não seriam classificadas para o programa receberam a recompensa mesmo assim.

A iniciativa é polêmica. Algumas empresas se recusam a pagar por informações de brechas, pois consideram a pesquisa “não-autorizada” e se limitam apenas a dar créditos quando o problema for corrigido.

Especialistas em pesquisa de falhas de segurança apoiam a campanha em sua maioria – alguns chegaram a incentivar que nenhum pesquisador revelasse falhas sem receber dinheiro pela informação. “Todos ganham com isso. As empresas deveriam sim adotar essa mesma ideia, assim evitariam futuros ataques”, opina Saad. “Evita gastos para a companhia, diminui o número de usuários insatisfeitos e reconhece o "trabalho" de quem descobriu”, afirma Targa.

Por Altieres Rohr