HackerOne e Crypto.com anunciam a maior recompensa por bugs de todos os tempos.
Com 100 milhões de usuários em 90 países em todo o mundo, a Crypto.com, com sede em Cingapura, é uma das maiores plataformas de negociação de criptografia do mundo. Como você pode imaginar, então, a confiança é um pilar central que sustenta tudo o que a organização faz, e as bases dessa confiança são construídas em torno da segurança e da privacidade. Esta filosofia de segurança em primeiro lugar é destacada na promessa de que a segurança e a privacidade são integradas no negócio desde a concepção e por defeito. “Impulsionamos uma estratégia de segurança de confiança zero e defesa profunda em nossos sistemas e plataformas”, afirma Crypto.com, “para fortalecer continuamente nossa postura de segurança, investimos pesadamente em treinamento contínuo de conscientização sobre segurança e privacidade para todos os funcionários”. E agora está investindo pesadamente em hackers, no valor recorde de US$ 2 milhões. Aqui está o que você precisa saber.
Crypto.com aumenta a aposta ao investir em hackers para encontrar problemas de segurança antes que possam ser explorados por cibercriminosos
Crypto.com não é novidade no mundo das plataformas de recompensas de bugs; afinal, está presente na plataforma HackerOne desde maio de 2018. Nesse período, pagou um total de US$ 539.130 em recompensas a hackers, com a faixa de recompensas mais alta, de acordo com as próprias estatísticas do HackerOne, estando na faixa de US$ 3.759 a US$ 40.000. Tudo isso pode mudar e como.
O programa existente de recompensas por bugs está sendo atualizado para aumentar o valor máximo a pagar aos hackers que conseguem encontrar certos tipos de vulnerabilidades de segurança e agora é de US$ 2 milhões. Caso você precise de alguma perspectiva sobre o quão importante é esse marco, ele representa a maior recompensa por bugs já oferecida pela HackerOne desde sua fundação em 2012.
“Segurança e conformidade estão na base de tudo o que fazemos na Crypto.com”, disse Kris Marszalek, CEO da Crypto.com, “à medida que nosso negócio e a indústria continuam a crescer, é extremamente importante que permaneçamos focados em nosso núcleo princípios, e este novo programa de recompensas faz isso estabelecendo um novo padrão.” Definir um novo padrão é um eufemismo na minha opinião. Este novo teto de recompensas estabelece um desafio para outras organizações que perguntam até que ponto elas realmente levam a segurança além dos jargões e do marketing?
Elevando o padrão de como as organizações devem interagir e recompensar hackers
Se você não está acostumado com o negócio de hackers, descobrir que o HackerOne tem um diretor de hackers pode ser uma surpresa, mas aqui estamos. Essa posição é ocupada por Chris Evans, que também é o diretor de segurança da informação mais comumente ocupado. “Os principais programas em nossa plataforma não apenas seguem nossas melhores práticas”, disse Evans, “mas elevam continuamente o padrão de como todas as organizações devem se envolver e recompensar hackers éticos”.
Crypto.com tem um histórico quando se trata de garantia de segurança, sendo a primeira “plataforma de ativos virtuais” a obter múltiplas certificações de segurança em todas as plataformas. Mas o diretor de segurança da informação, Jason Lau, disse que “embora tenhamos dedicado esforços significativos para obter certificações de segurança de alto nível, manter a garantia de segurança requer foco e melhoria contínuos”.
É por isso que a Crypto.com tem sido um parceiro respeitoso da comunidade hacker, que vê como uma extensão da sua equipa de segurança interna, através da plataforma HackerOne. “Aprofundar nosso relacionamento com a HackerOne por meio deste marco”, concluiu Lay, “e estabelecer essa recompensa histórica ressalta nosso compromisso em melhorar as salvaguardas e a proteção do consumidor”.
Vá buscá-los, hackers – como ganhar aquela recompensa de US$ 2 milhões na Crypto.com
O que apenas deixa a questão de saber se algum hacker tem o que é preciso para obter aquela recompensa de US$ 2 milhões? De acordo com as regras de engajamento para esta faixa extrema de recompensas, a recompensa de US$ 2 milhões é para vulnerabilidades dentro do escopo contra a plataforma que “poderiam resultar em uma perda significativa de fundos ou violação de dados”. O que a Crypto.com não faz, no entanto, é delinear precisamente quais critérios precisam ser atendidos, já que, segundo ela, esses são casos extremos. Em termos gerais, porém, os hackers podem esperar obter o grande pagamento, em uma combinação de fundos fiduciários tradicionais e criptomoedas, por encontrar vulnerabilidades que “poderiam resultar em uma perda rápida e imediata de mais de US$ 1 milhão em fundos” para a Crypto.com ou seus usuários, ou que poderia despejar informações do cliente em massa. Vá pegá-los, hackers.