Executando verificação de segurança...
Respondendo a "Bom cara, sou obrigado a corrigir a impressão e..." dentro da publicação [Não disponível]
1
marianeconta123

Silva, entendo o seu posicionamento e do Marcos, onde concordo com vcs dois, em partes.

Trabalho com Security e Privacy em empresa de grande porte e posso te afirmar que sim, a atuação de profissionais de segurança independentes, que de forma ética reportam as vulnerabilidades encontradas, ajudam e muito as equipes internas.

Apesar de ter mesmo muita empresa que tenta usufruir sem remunerar (já escutei diversos casos, ondevtrabalho oelo menos, não atuamos assim), acredito que plataformas como a bughunt cada vez mais vêm sendo utilizadas pelas empresas, pois a legislação brasileira vem cada vez mais obrigando as empresas a se adequarem e investirem na segurança de seus dados, como a LGPD e MCI.

abs
Mari

Carregando publicação patrocinada...
0
Silva97

Pois como alguém da área, você deveria saber melhor que qualquer um que bug bounty NÃO É (repito: NÃO É) o que o Marcos descreveu. Isso de sair procurando vulnerabilidade em site aleatório na internet NÃO é a mesma coisa que bug bounty (feito em plataformas como HackerOne, BugHunt etc.). Não é.

Vou repetir de novo para garantir que fui compreendido: não é a mesma coisa!

Bug bounty são programas criados pelas empresas que estipulam regras, escopos etc. e pré-autoriza que profissionais (seguindo as regras) façam análise de vulnerabilidades nas plataformas (e não, bug bounty não é pentest).

Bem, e talvez você esteja se perguntando: por que é diferente?

Por dois motivos:

  1. A empresa concordou com isso, afinal ela criou o programa de bug bounty.
  2. A empresa tem estrutura para lidar com isso.

Entenda, colega: empresas que abrem programas de bug bounty já tem um certo nível de maturidade de segurança. Já fazem pentest regularmente, tem SOC, CSIRT, red team/blue team etc.

Não é uma empresa aleatória qualquer que nem sabe o que é segurança da informação. Quem faz isso de sair procurando vulnerabilidade em site aleatório é gente sem noção, procurando por grana fácil. Porque sabem que é fácil encontrar vulnerabilidades em sites aleatórios na internet. É moleza, mamão com açucar. Por isso gostam de fazer isso, pra alimentar o ego e mentirem para eles mesmos que são "hackers" ou "profissionais de segurança".

Bem diferente de programas de bug bounty públicos onde a empresa tem um nível de maturidade de segurança alto. Inclusive é o que eu sugiro quando perguntam para mim: a empresa não pode abrir programa de bug bounty sem, antes, ter um time de segurança competente.

0
marianeconta123
Autor
Autor

muitos programas de SI são criados a partir de plataformas como a que descrevi, então não são a mesma, óbvio, mas se complementam.

só a dica que eu do para quem quer entrar na área como profissional independente, é se cadastrar nestas plataformas de bug bounty, fazer os reportes, e montar um portfólio atualizado (mantendo o sigilo e a confidencialidade dos casos sempre, claro), para caso queira trabalhar algum dia como CLT e for necessário demonstrar suas experiências, ou até mesmo para trabalhar com contrato fixo em alguma(s) empresa.

abs

1
Silva97

Nossa, eu tentei ser o mais claro possível e mesmo assim você não entendeu o que eu escrevi. Não tem problema, eu repito:

A questão é que o carinha falou sobre reportar vulnerabilidade em empresas que não tem programa nenhum. Esse é o problema, é um "trabalho" não solicitado, não aprovado.

Isso é ilegal. Então por gentileza, para de falar como se fosse um jeito normal de "trabalho independente" na área.

Leia essa lei aqui antes de repetir isso: https://www.planalto.gov.br/ccivil_03/_Ato2023-2026/2023/Decreto/D11491.htm