Executando verificação de segurança...
Respondendo a "Silva, entendo o seu posicionamento e do Marcos..." dentro da publicação [Não disponível]
0

Pois como alguém da área, você deveria saber melhor que qualquer um que bug bounty NÃO É (repito: NÃO É) o que o Marcos descreveu. Isso de sair procurando vulnerabilidade em site aleatório na internet NÃO é a mesma coisa que bug bounty (feito em plataformas como HackerOne, BugHunt etc.). Não é.

Vou repetir de novo para garantir que fui compreendido: não é a mesma coisa!

Bug bounty são programas criados pelas empresas que estipulam regras, escopos etc. e pré-autoriza que profissionais (seguindo as regras) façam análise de vulnerabilidades nas plataformas (e não, bug bounty não é pentest).

Bem, e talvez você esteja se perguntando: por que é diferente?

Por dois motivos:

  1. A empresa concordou com isso, afinal ela criou o programa de bug bounty.
  2. A empresa tem estrutura para lidar com isso.

Entenda, colega: empresas que abrem programas de bug bounty já tem um certo nível de maturidade de segurança. Já fazem pentest regularmente, tem SOC, CSIRT, red team/blue team etc.

Não é uma empresa aleatória qualquer que nem sabe o que é segurança da informação. Quem faz isso de sair procurando vulnerabilidade em site aleatório é gente sem noção, procurando por grana fácil. Porque sabem que é fácil encontrar vulnerabilidades em sites aleatórios na internet. É moleza, mamão com açucar. Por isso gostam de fazer isso, pra alimentar o ego e mentirem para eles mesmos que são "hackers" ou "profissionais de segurança".

Bem diferente de programas de bug bounty públicos onde a empresa tem um nível de maturidade de segurança alto. Inclusive é o que eu sugiro quando perguntam para mim: a empresa não pode abrir programa de bug bounty sem, antes, ter um time de segurança competente.

Carregando publicação patrocinada...
0

muitos programas de SI são criados a partir de plataformas como a que descrevi, então não são a mesma, óbvio, mas se complementam.

só a dica que eu do para quem quer entrar na área como profissional independente, é se cadastrar nestas plataformas de bug bounty, fazer os reportes, e montar um portfólio atualizado (mantendo o sigilo e a confidencialidade dos casos sempre, claro), para caso queira trabalhar algum dia como CLT e for necessário demonstrar suas experiências, ou até mesmo para trabalhar com contrato fixo em alguma(s) empresa.

abs

1

Nossa, eu tentei ser o mais claro possível e mesmo assim você não entendeu o que eu escrevi. Não tem problema, eu repito:

A questão é que o carinha falou sobre reportar vulnerabilidade em empresas que não tem programa nenhum. Esse é o problema, é um "trabalho" não solicitado, não aprovado.

Isso é ilegal. Então por gentileza, para de falar como se fosse um jeito normal de "trabalho independente" na área.

Leia essa lei aqui antes de repetir isso: https://www.planalto.gov.br/ccivil_03/_Ato2023-2026/2023/Decreto/D11491.htm