[Segurança] Programas de Bug Bounty nas empresas brasileiras

Recentemente, na minha palestra no Mind The Sec (MTS), eu destaquei o crescimento do mercado brasileiro de Bug Bounty (BB) nos últimos anos. Se, no início de 2019 apenas o C6 Bank divulgava para o mercado que possuía um programa de Bug Bounty e a Hackaflag tinha recém-lançado o programa da Quod no Roadsec 2018, atualmente eu estimo que devam existir cerca de 50 empresas brasileiras, ou mais, com programas públicos e privados de recompensas por bugs.

O mercado brasileiro é disputado principalmente pelas empresas americanas HackerOne e BugCrowd, e pelas empresas brasileiras Hackaflag e BugHunt.

A Hackaflag e a BugHunt divulgam em suas redes sociais algumas empresas que possuem programa público ou semi-privado (quando ela anuncia a existência do programa, mas mesmo assim só aceita participação de pesquisadores convidados). Em uma notícia recente a BugHunt disse ter 15 empresas como clientes e 12 mil pesquisadores cadastrados, e em seu site divulga algumas empresas que provavelmente possuem Programas Públicos: UOL, enjoei, OLX, Warren do Brasil e Webmotors. Em uma newsletter recente, eles também divulgaram as empresas BTG Pactual e TIM Brasil, além da própria BugHunt. O site da Hackaflag  por outro lado, cita apenas a Eskive e a Quod na homepage, mas tem uma página que cita 10 clientes: os bancos BMG, PAN, Stark Bank e EBANX, o Grupo DPSP, a Quod, a plataforma de investidores TC, a Sinqia, Elo e Dock. Mas ambas empresas divulgam os nomes de mais alguns clientes nas suas redes sociais!

Baseado nas informações disponíveis abertamente, eu já identifiquei as seguintes empresas nacionais com programas de BB ou VDP:

1. Banco BMG (Hackaflag)
2. Banco PAN  (Hackaflag)
   
3. BugHunt (BugHunt)
4. BTG Pactual (BugHunt)
5. C6 Bank (HackerOne)
6. Dock (Hackaflag)
7. DPSP  (Hackaflag)
8. EBANX (Hackaflag)
9. ELO (Hackaflag)
10. Eskive (Hackaflag)
11. enjoei (BugHunt)
12. Hackaflag (Hackaflag)
13. HostGator Brazil (VDP) (Bugcrowd)
14. iFood (Bugcrowd)
15. Itau (VDP próprio)
16. Nubank (HackerOne) (blog)
17. OLX Brasil (BugHunt)
18. Quod  (Hackaflag)
19. SINQIA (Hackaflag)
    
20. Stark Bank (Hackaflag)
21. TC
22. Tim Brasil (BugHunt)
23. UOL (BugHunt)
24. Warren do Brasil (BugHunt)
25. Webmotors (BugHunt)

A minha estimativa de que devem existir pelo menos 50 empresas brasileiras que tem programas de bug bounty é um grande "chute", baseado na expectativa de que existe pelo menos a mesma quantidade de programas privados e de públicos. Fora isso, a minha lista acima tem poucos programas na Hackerone e Bugcrowd, então imagino que devam existir várias empresas brasileiras que possuem programas privados gerenciados por elas. Eu mesmo sei de algumas empresas brasileiras que tem programas privados, mas justamente por serem privados eu optei por não incluí-las na lista acima. 

OBS: Veja o vídeo de lançamento do Bug Bounty da Quod, junto com a HackaFlag:

Para saber mais:

• Bug bounty começa a ganhar espaço no Brasil
• Por que o Bug Bounty se tornou uma tendência na cibersegurança?
• C6 Bank lança programa de “bug bounty”
• Top #15 hackers da BugHunt
• Aqui no blog: Os programas de Bug Bounty das empresas

PS: Atualização em 12/12, para incluir a TC e o Stark Bank na lista.