O Google publicou os números consolidados da sua iniciativa de recompensa por informações sobre falhas de segurança em 2018. Segundo a empresa, foram pagos US$ 3,4 milhões (cerca de R$ 12,6 milhões) para 317 colaboradores de 78 países.
O volume foi mais que o dobro da média (US$ 1,45 milhão ou R$ 6,2 milhões) dos 8 anos anteriores e se refere a 1.319 relatos de falhas.
O programa de recompensas engloba diversos serviços da companhia, incluindo a pesquisa, o Gmail e o YouTube. Do montante de 2018, metade foi para premiar a caça de falhas no sistema de celular Android e no Chrome.
Como funciona
O Google é pioneiro em recompensar pesquisadores independentes por falhas de segurança em seus próprios produtos. Desde a sua criação em 2010, a iniciativa já fez US$ 15 milhões (cerca de R$ 55,5 milhões) em pagamentos para pesquisadores.
A ideia é que eles comuniquem o problema de maneira discreta e não levem essas informações a público. Assim, a empresa pode corrigir qualquer erro antes de hackers tomarem conhecimento da falha e a utilizarem para atacar internautas.
Além de manter detalhes técnicos das falhas em sigilo, as recompensas servem como mais um incentivo para que pesquisadores dediquem seu tempo para encontrar essas vulnerabilidades.
O Google destacou que o público do programa é diverso: desde um jovem uruguaio de 19 anos a um polonês que utilizou o dinheiro recebido para abrir um restaurante.
Embora a empresa determine valores estimados para cada tipo de problema, é ela quem bate o martelo sobre o valor a ser pago em cada caso específico.
Prática comum
A maior recompensa em 2018 foi de US$ 41 mil (cerca de R$ 152 mil). Esse número já não é muito impressionante – o Facebook, por exemplo, pagou US$ 50 mil em sua maior recompensa no mesmo ano, que também foi a mais alta já paga pela rede social.
Até a Microsoft, que demonstrou resistência em adotar essa prática, já fez pagamentos de US$ 100 mil. O próprio Google ofereceu valores semelhantes para certos tipos de falhas.
A Comissão Europeia adotou a prática como política pública, abrindo diversos programas de recompensa por falhas em softwares de código aberto que são usados nos sistemas públicos.
A Apple é uma exceção nessa questão entre as gigantes de tecnologia. A empresa liderada por Tim Cook ainda não oferece recompensas a quem relatar falhas em seus produtos.
Excepcionalmente, a companhia decidiu oferecer um auxílio de custo a um estudante de 14 anos que relatou uma brecha no FaceTime, corrigida recentemente no iOS 12.1.4.
G1