/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2019/S/d/CDwYj5TaaRAPgtweBzyw/keyboard-chain-g.jpg "Programa do Google recompensa pesquisadores para que falhas sejam corrigidas antes que hackers possam explorá-las em ataques — Foto: Armin Hanisch/Freeimages.com")
O Google publicou os números consolidados da sua iniciativa de recompensa por informações sobre falhas de segurança em 2018. Segundo a empresa, foram pagos US$ 3,4 milhões (cerca de R$ 12,6 milhões) para 317 colaboradores de 78 países.
O volume foi mais que o dobro da média (US$ 1,45 milhão ou R$ 6,2 milhões) dos 8 anos anteriores e se refere a 1.319 relatos de falhas.
O programa de recompensas engloba diversos serviços da companhia, incluindo a pesquisa, o Gmail e o YouTube. Do montante de 2018, metade foi para premiar a caça de falhas no sistema de celular Android e no Chrome.
Como funciona
O Google é pioneiro em recompensar pesquisadores independentes por falhas de segurança em seus próprios produtos. Desde a sua criação em 2010, a iniciativa já fez US$ 15 milhões (cerca de R$ 55,5 milhões) em pagamentos para pesquisadores.
A ideia é que eles comuniquem o problema de maneira discreta e não levem essas informações a público. Assim, a empresa pode corrigir qualquer erro antes de hackers tomarem conhecimento da falha e a utilizarem para atacar internautas.
Além de manter detalhes técnicos das falhas em sigilo, as recompensas servem como mais um incentivo para que pesquisadores dediquem seu tempo para encontrar essas vulnerabilidades.
Embora a empresa determine valores estimados para cada tipo de problema, é ela quem bate o martelo sobre o valor a ser pago em cada caso específico.
Prática comum
A maior recompensa em 2018 foi de US$ 41 mil (cerca de R$ 152 mil). Esse número já não é muito impressionante – o Facebook, por exemplo, pagou US$ 50 mil em sua maior recompensa no mesmo ano, que também foi a mais alta já paga pela rede social.
Até a Microsoft, que demonstrou resistência em adotar essa prática, já fez pagamentos de US$ 100 mil. O próprio Google ofereceu valores semelhantes para certos tipos de falhas.
A Comissão Europeia adotou a prática como política pública, abrindo diversos programas de recompensa por falhas em softwares de código aberto que são usados nos sistemas públicos.
A Apple é uma exceção nessa questão entre as gigantes de tecnologia. A empresa liderada por Tim Cook ainda não oferece recompensas a quem relatar falhas em seus produtos.
Excepcionalmente, a companhia decidiu oferecer um auxílio de custo a um estudante de 14 anos que relatou uma brecha no FaceTime, corrigida recentemente no iOS 12.1.4.
Fonte: G1