Por Redação O Sul | 5 de agosto de 2020
A Microsoft pagou 13,7 milhões de dólares para retribuir 1.226 relatórios de falhas de segurança enviados por 327 especialistas independentes, segundo um balanço divulgado nesta semana. As cifras foram pagas pelos programas de recompensa, que remuneram especialistas independentes por descobrir vulnerabilidades.
Os programas de recompensa, também chamados de “bug bounty”, exigem que os participantes cumpram certas regras. Não é permitido abusar das falhas para comprometer informações de usuários, nem divulgar informações técnicas a respeito dos problemas antes que uma correção oficial seja disponibilizada.
Esse tipo de pagamento nada tem a ver com “vírus de resgate”, em que criminosos atacam usuários ou empresas e cobram valores para recuperar arquivos. Os programas de “bug bounty” são oferecidos por iniciativa das empresas e não permitem a destruição ou coleta de dados, apenas a demonstração da falha.
Dessa maneira, usuários podem ser protegidos de ataques cibernéticos antes mesmo que eles aconteçam no mundo real, evitando o cenário do “dia zero” – ações que exploram vulnerabilidades para as quais não existe solução.
De acordo com dados do Projeto Zero do Google, 11 falhas foram exploradas como “dia zero” no primeiro semestre de 2020. Destas, quatro eram da Microsoft.
O montante de 13,7 milhões de dólares (o equivalente a 70 milhões de reais) é três vezes maior que os dos doze meses anteriores. O valor também é o dobro do pago pelo Google e seis vezes o valor pago pelo Facebook, que somou 2,2 milhões de dólares em 2019.
No entanto, os números não podem ser diretamente comparados, pois não se referem aos mesmos períodos. O Google e o Facebook costumam divulgar balanços anuais que consideram as denúncias de janeiro a dezembro, enquanto o balanço da Microsoft é de julho a junho.
Segundo o anúncio da Microsoft, a pandemia do novo coronavírus fez o número de relatos de falhas aumentar. Caso o mesmo impacto seja sentido por outras empresas, ele só deve aparecer nos balanços do próximo ano.
A maior recompensa paga pela Microsoft foi de 200 mil dólares, em patamar semelhante aos 201 mil dólares que um especialista conseguiu obter do Google em 2019.
A Microsoft hoje dispõe de 15 programas de recompensa. Alguns foram lançados só recentemente, como o do Azure Sphere, disponibilizado em maio, e do Xbox, anunciado em janeiro.
