November 13, 2025 • 54 mins
Neste episódio, recebemos o pesquisador C4ng4c3ir0, um verdadeiro veterano do mundo dos Bug Bounties e atualmente #.1 no Ranking Brasileiro. Ele abriu o jogo sobre como é a rotina de quem caça vulnerabilidades, os desafios de lidar com triagens demoradas e programas mal estruturados, e o que separa um bom caçador de um simples “report spammer”. Discutimos o equilíbrio entre reconhecimento, ética e técnica, e como as empresas podem aprender com quem vive na linha de frente da segurança.
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.
Mark as Played
Transcript
Episode Transcript
Available transcripts are automatically generated. Complete accuracy is not guaranteed.
(00:08):
e aí
Olá, jovens!
Sejam muito bem-vindos a mais episódio de Debate C cups Podcast.
(00:28):
Eu sou o Caso Pereira.
Eu só não estou sozinho hoje, porque o nosso convidado é ponta firme e está aqui, porqueos outros dois vagabundos estão aeroporto, estão passeando no parque.
Como faz parte desse podcast?
O salário está dia, mas o galera não vem participar.
O que importa é que o nosso convidado está aqui hoje, mais uma vez.
Inclusive, nem tem a produção aqui para a lembrar qual foi o episódio ele participou, masjá a gente puxa a informação.
(00:51):
De qualquer forma...
foi na temporada passada, porque estamos na sétima temporada do DevSecOps Podcast.
Este é o seu segundo episódio, não se esqueça que temos mais de 180 episódios para vocêconferir aí no DevSecOps Podcast.
Antes de reapresentar o nosso convidado de hoje e entrar no papo de bug bounty, que o quea vai falar hoje, inclusive dois, três episódios atrás, a fez episódio com o time, o
(01:14):
Marcos e o Benyur, e a gente conversou bastante sobre como montar programa de AppSec doponto de vista do time de AppSec.
do lado da empresa, qual a importância de ter programa, porque eu preciso de programa deAppSec e, especialmente, quais elementos esse programa deve conter para que seja bem
sucedido, para que tenha ali um relacionamento interessante com o pesquisador, que é quemestá dedicando seu tempo e tal, para achar ali as falhas, enfim, e, fim das contas, ajudar
(01:39):
a nossa empresa.
Mas antes de falar sobre o episódio de hoje, vamos lembrar que o DevCop Podcast tem oapoio da Nova8, que é atribuidor da SNIC no Brasil.
e a Purple Bird Security que vai cuidar de você durante e depois do incidente.
Então quando o nosso convidado aqui, por exemplo, estiver te invadindo e te atacando paraganhar um mount, você vai trocar a ideia que a Purple Bird Security que eles vão ajudar
(02:00):
vocês com relação aos incidentes.
Não se esqueça também da Gold Security, que tem serviços especializados segurança deaplicações, e a DigitalWoke, que é portfólio completo para você AppSec.
E, é claro, a nossa nova parceira, a Conviso, que protege a sua organização contra fraudese ataques cibernéticos.
É uma consultoria especializada em...
Desculpa, calma, calma.
(02:21):
É uma consultoria e plataforma especializada AppSec para instituições financeiras eempresas que lidam com dados sensíveis para fortalecer a gestão da segurança de
aplicações.
boa.
Agora que eu li minha colinha aqui, ainda li errado ainda.
Nosso querido convidado...
Cangaceiro que está aqui mais uma vez com a gente, inclusive essa camisa, essa camisaantiga, cara, da Malboro, né?
(02:43):
Porra, essa é véia.
Para quem já foi preso sabe muito bem que é Malboro, né?
Na cadeia, muito bem-vindo, uma moeda de troca, né?
Mas meu amigo, seja muito bem-vindo mais uma vez, se apresenta pra galera pra quem aindanão te conhece e vamos começar a patrocinar o podcast, né?
Muitos dólares aí nos bounts que você está ganhando.
Vamos compartilhar com a gente, né?
(03:04):
bora bora então é meu nome é João Victor meu nome real é João Victor mas usou essecodenome cangaceiro eu atuo com cybersegurança aí vai fazer cinco anos ano que vem de
maneira oficial né no mercado de trabalho
(03:26):
Eu atuo com bug bount antes de realmente na segurança então devo ter uns 5 anos que eumexo com bug bount.
sei lá, minha apresentação talvez seja isso, eu não sou muito bom pra falar sobre mim não.
Para quem quer conhecer mais sobre o João Vitor ou o Cangaceiro, dá uma olhada lá no X, noTwitter.
(03:49):
Ele é bem ativo lá.
cara, todo dia tem print.
300 dólares na conta, 1.000 dólares na conta.
cara já é milionário, mas ele está aqui participando com a gente de forma humilde paracompartilhar pouquinho da sua informação.
fakes, eu só vou lá, edito a HTML, leio no email e posto lá, entendeu?
É igual a galera do Build in Public, Os caras colocam um MRR de 1 milhão por mês, 2 milhãopor mês.
(04:13):
A onda é essa, né?
Tá certo, postou a verdade.
Bom, meu amigo, vamos lá então.
Vamos conversar pouquinho sobre programa de Bug Bounce.
Eu queria já começar falando, pelo menos fazer uma pergunta, Do ponto de vista teu comopesquisador e que tá ali diretamente atuando com as empresas e dedicando o teu tempo ali.
Como é que você seleciona...
(04:34):
Qual programa que você vai participar?
Tem pouco, obviamente, na minha concepção, o preço si, o bount si, o tamanho dos ganhosque você pode obter, acho que é fator determinante.
Mas tem também uma questão do tipo, poxa, vou participar do bount da empresa A, mas daempresa B eu não vou.
Quais outros fatores, além obviamente da grana em si, te motivam a selecionar esse ouaquele?
(05:03):
São alguns fatores.
O primeiro deles é o escopo.
Então, pra mim o escopo tem que ser bem amplo pra que eu consiga analisar, pra que euprefira aquele determinado programa.
Não significa que eu não analise os outros, mas eu consigo dedicar mais tempo e saber queeu vou obter melhores resultados no escopo amplo.
(05:29):
Então...
Foi até o Sushi que me indicou num programa de Bug Bounty de um amigo dele que trabalhavanuma empresa lá e tal.
Aí ele acho que pediu algumas indicações de pessoas pra participar do programa, acho quetava meio parado, não sei.
E nesse programa acho que eu já angariei uns sei lá, 23 mil dólares durante esse ano.
(05:52):
Porque...
eles têm um escopo gigantesco então eles aceitam todos os subdomínios da empresa elesaceitam domínios relacionados então por exemplo vamos imaginar que seja a Google aí a
Google tem o domínio google.com e tem o domínio gmail.com então eu posso analisar todos ossubdomínios desses dois domínios e agora teve algumas mudanças na política e tudo mais
(06:21):
Mas eles aceitavam até coisas de terceiros, esse programa específico oferece plataformascomo serviços, tipo SaaS, e os terceiros hospedavam esses serviços, essas aplicações em
servidores de propriedade deles.
(06:43):
Uhum.
era uma coisa ainda maior do que eu gostava, do que eu gosto de analisar, entendeu?
Então era leque gigantesco pra fazer essa análise.
Então só recapitulando, um escopo bem amplo, sobre domínios, domínios relacionados,domínios de terceiros, não ter muita limitação na política.
(07:13):
Por exemplo, tem programa que já fala lá, não aceito xss, ah, não aceito Open Redirect,nem reporta vulnerabilidade low que você vai perder ponto.
é complicado.
Então, eu prefiro focar nesses assim que são mais abrangentes.
Boa, isso já traz pouco de uma dúvida que eu tinha.
(07:33):
Às vezes a galera está sempre olhando bom, eu tenho a capacidade aqui de achar uma falha eganhar 10 mil dólares, uma porrada só.
Ou uma falha e ganhar 500 dólares.
Óbvio que talvez os 10 mil chamam pouco mais de atenção, mas é 10 mil dólares nosubdomínio x.com, nem você falou, né?
O exemplo do Google, x.google.com.
Mas aí quando você analisa a aplicação geral, aplicação faz monte de request pra...
(07:56):
Alt.Google.com, sei lá, vários fluxos estão fora daquele escopo.
E aí quando você acha uma falha, ela acaba passando por outros escopos que ela acaba nãosendo válida considerando essa questão do escopo.
Ou seja, você gastou tempo ali, tempo, dia, um ano, vamos falar assim, para achar algo quevocê não pode reportar no final porque está fora do escopo.
Ainda que você reporte, ainda que seja problema de fato, do lado do pesquisador, que cara,estou aqui dedicando o tempo que eu quero, essa grana, não valeu a pena.
(08:24):
No final das contas você não vai ganhar, dificilmente eles vão te pagar.
Faz sentido também, e muito bem que você colocou essa questão da política, não adiantareportar esse que era injection, xss, que não estamos nem aí.
Porque os caras, esse bobeiro até sabe que tem esses problemas, acaba sendo chato também.
Muito bom, do ponto de vista do tempo, agora eu quero entender como que é essa questão dotempo, por exemplo, você dedicou lá...
(08:53):
colocar uma semana, No cenário fictício aqui.
Então você ficou uma semana, seja uma hora por dia, duas horas por dia, dez horas por dia.
Mas é lá, gastou uma semana, duas, pra achar uma falha.
Você achou a falha, reportou.
O tempo, entrar presa, fazer essa triagem, essa validação, reproduzir os passos a passosque você colocou no report, entrar contato com você de volta, falando, beleza, é problema
(09:19):
mesmo, tá pago ou não, precisa de mais informações.
Ou...
Esse processo demorou mais de três meses, o cara te dá a primeira resposta, ou pior,sequer respondem.
O quão importante é essa questão para você do tempo?
Porque você acaba esperando, você terminou o seu trabalho ali, mas pode ser que eles peçammais evidências, ou às vezes, de repente, entrar uma call aí para ajudar a gente a
(09:40):
reproduzir, sei lá, coisas do tipo.
Eu quero entender do teu ponto de vista como que é esse tempo, o quão impactante ele é.
Talvez para você, aqui é difícil decidir qual o programa sem você ter participado doprograma e saber qual o tempo que vai demorar.
Mas obviamente as empresas já tem uma certa reputação, alguns programas já tem uma certareputação.
Mas como que era o dia a dia essa questão do tempo?
Obviamente quanto mais rápido, melhor, mas ao mesmo tempo quanto demora significa que jáestá perdido, você fica esperando.
(10:05):
Como que é isso?
Essa questão do tempo é uma coisa bem frustrante para quem mexe com Bug Bounce Euparticularmente tenho experiências bem diversas, inclusive nesse programa que eu mencionei
porque tem vulnerabilidade que eles...
(10:26):
No Bug Bounce primeiro é feita a triagem pela plataforma Então a plataforma ela valida e apartir da validação dela
aí já é problema da empresa.
Então assim, a plataforma fez o trabalho dela de validar e passar para a empresa.
Isso aqui é válido.
Agora é com vocês aí se vira e segue os próximos passos.
(10:52):
A partir disso, tem empresa que só caga e já era.
Esse foi dos casos que até que postei no Twitter tempo atrás, lá no AX, que eu mandei umreport lá que eu conseguia manipular o valor de cursos, da plataforma tinha cursos de,
(11:12):
acho que...
3 mil dólares, 6 mil dólares, eu conseguia comprar o curso por zero dólares.
Eu conseguia só comprar o curso e ficar lá.
E os caras passaram 4 meses pra validar e pagar a vulnerabilidade.
Então assim, é complicado, assim, mesmo programa teve outros casos que os caras pagaram 2dias, 3 dias.
(11:39):
Da mesma empresa, da mesma empresa.
Então, meio que tem essa variação assim.
E o que nos resta é saber lidar com essa questão aí do tempo.
E tipo variar assim, reportar vários programas, porque aí, meio que você não vai ficardesamparado do ponto de vista do dinheiro ali, porque você tem vários programas, cada
(12:09):
programa tem uma...
tem suas particularidades ali, então pode ser que dia algum você receba ali,periodicamente, receba mais rapidamente e esses que demoram você vai esperando ali o tempo
deles.
Você sabe se tem alguma, com relação às plataformas, talvez Buggy Crown, Hacker One, sejamas mais famosas, Você sabe se tem algum controle do lado deles para auxiliar não só a
(12:39):
empresa nessa resposta do...
Como você falou, eles já fazem a validação, imagino que já triagem, mas auxiliado tipo,você já passou uma semana e você não respondeu ainda.
Duas semanas, dez semanas, ano, cara?
Precisa responder.
Ou do ponto de vista, não sei se só de notificar a empresa...
E como que é essa relação com vocês pesquisadores?
tipo, mandamos notificação para empresa, estamos também aguardando.
(13:02):
Porque é o que você falou, do lado da empresa, cara, eles têm o tempo deles.
Até aceitável.
Mas como é que essas plataformas talvez possam estar tentando ajudar os dois lados?
Tanto do tipo do pesquisador, estamos tentando o contato, quanto o tipo da empresa, opesquisador está te esperando.
Não sei se seria similar ao...
É que agora eu tô fora, uso mais mercado livre.
(13:23):
Mas, por exemplo, aqui gente tem aplicativo que gente compra e tem uns esquemas tipo, oproduto chegou, eles têm rastreio, né?
Chegou, eles já te pedem, faz uma avaliação pro produto, dá uma avaliação pro cara domercado.
Passou x tempo, o produto não chegou ainda, eles mandam uma notificação, verifique nopost, manda uma notificação pro vendedor, verifica se não travou o produto algum lugar,
(13:46):
sei lá.
Então tem meio que certo ajuda das plataformas.
para fazer essa relação acontecer, porque no fim das contas é uma relação, tanto tua comessa empresa.
Você vê isso ou as plataformas estão meio que também, cara, limitadas, mal atadas?
Como é que você vê isso aí?
É, talvez elas fiquem meio de mão atadas porque no final das contas é a empresa que temque agir ali, né?
(14:13):
Então ela...
Pelo menos na Buggy Crowd eu consigo acompanhar ali quando a própria plataforma meio quemanda uma...
meio que um chamado ali, manda uma mensagem pra empresa.
Então aparece lá.
Bugcrowd abriu um blocker que o que eles chamam de blocker, que como se fosse umbloqueador ali para que a empresa responda.
(14:43):
E assim, para o pesquisador eles colocam um timing lá para você responder, se você nãoresponder ele fecha o reporte que é de 7 dias, mas para a empresa não sei como é que
funciona.
Eu acho que não tem é porque o meu passou 3 meses aí os caras não...
É...
E eu pergun...
Eles podem até, sei lá, fazer isso de mandar mensagem ali cobrando, como eu falei.
(15:10):
Também tem o da parte do pesquisador, Ele pode ir lá na plataforma e ele mesmo abrir umchamado.
Já fiz isso várias vezes.
Então você coloca lá o ID do repórter, coloca qual que é o repórter, qual que é oprograma.
E aí a plataforma vai lá de novo e cobrar a empresa e tudo mais.
(15:32):
Então isso coloca uma pressãozinha mais neles.
Mas no final das contas a gente tem que só esperar e depender deles.
Esperar e rezar.
Eu pergunto isso porque a empresa que eu trabalho aqui fora, a gente está exatamenteavaliando agora um programa de bug bounty para o próximo ano e obviamente usar uma dessas
plataformas.
E a gente está fazendo Pock com as plataformas.
(15:54):
Esse aí tem, cara, funcionalidades diversas, né?
Mas a está chegando nesse ponto agora do tipo, eu tenho que ter...
Você me ajuda com programa de triagem, mas é importante que eu valide.
Você validou, mas tá, mas eu preciso ver o impacto.
Pode ser puta SQL Injection absurdo numa base de dados, óbvio.
Mas aí eu vou ver, cara, uma base de dados minha que...
Não é irrelevante porque ela está lá, mas não tem dados sensíveis, não tem nada.
(16:14):
Então, beleza.
vez de crítico, é low, por exemplo.
Isso a gente vai discutir na próxima pergunta.
Mas eu imagino que quando a empresa fala, beleza, vou pagar lá mil dólares desse Bountyaqui para o cangaceiro, você vai receber esses mil, mas eu imagino que a plataforma tem
uma porcentagem disso.
Por exemplo, a empresa pagou 1.200, porque 200 foi para a plataforma.
(16:36):
Exemplo, tá?
e mil foi para o pesquisador que foi o que está anunciado ali nos bounts.
Então tem certo incentivo da plataforma de fazer isso acontecer.
Bom, cara já reportou, eu já validei agora empresa, paga e tal, porque também tem o meuganho, a minha margem ali.
(16:56):
Eu estou imaginando que não seja pagamento fixo do lado da empresa e das plataformas, massim pagamento sob demanda, para cada reporte, sei lá, coisas do tipo.
Enfim, já pingando para a próxima pergunta, essa.
Como que lhe dá essa questão da criticidade?
Você vai lá e fala, cara, tem problema aqui, crítico.
(17:17):
Porque assim, assim, assado, é crítico.
Do ponto de vista do pesquisador, é crítico.
A empresa vai lá e fala, o crítico eu pago mil, o médio eu pago 500.
Então fala, na verdade isso aqui não é crítico, isso aqui é médio.
E aí reconhece, beleza, mas te paga 500.
Como é que é essa dinâmica?
Esse exemplo que eu dei agora, puta, antes que ela injete uma base que pra mim éirrelevante, mas pro pesquisador ela pode ser muito relevante.
(17:43):
Como é que é essa troca?
Faz sentido?
É difícil aceitar?
É frustrante?
É, então assim cara, é...
É complicado essa...
Essa questão aí do...
Que você fala, velho?
Não sei nem o que...
(18:05):
Porque, por exemplo, vamos lá, a gente tem vulnerabilidades que tecnicamente elas sãoaltas.
Altas do ponto de vista, eu precisei de vetor de ataque, eu tenho uma ferramentaautomatizada, eu tenho exploit público, eu fui lá, desparei no endpoint, passou,
funcionou, beleza.
Mas o impacto disso, às vezes o pesquisador fala, cara, eu consegui chegar na tua base dedados, ponto, beleza?
(18:26):
Isso é muito grave.
Mas é uma base de dados que para a empresa ela é importante, ela é
tá lá, funcionando, é software funcional, tá produção.
Mas é uma base que, por exemplo, não tem dados sensíveis, dados de pessoas, não tem cartãode crédito, sei lá, tem dados transacionais X, que é problema, é impacto, você chegou num
banco de dados meu.
Mas ele não é crítico, o impacto pra mim, enquanto empresa, é baixo.
(18:50):
É igual falar, te deu tiro, ah, beleza, mas eu tô de capacete, eu tô atrás de uma paredeblindada, pode dar quantos tiros você quiser.
É diferente você falar, cara, te deu tiro e você tá pelado, tá ligado?
Queima roupa, então...
Então tem impacto diferente.
Como é que você se sente nesse contexto?
É fácil aceitar?
Porque imagino que essa parte da relação, a empresa também vai te explicar isso.
(19:12):
Imagino que na plataforma vai ter lá, cara, olha, isso não é alto, é baixo por contadisso, disso, disso, disso.
Como é que isso?
É, a própria blogcrowd tem essa classificação.
As outras plataformas usam aquela calculadora CVSS.
Isso aqui é complicado porque no final das contas quem vai definir a empresa, que o quevocê falou também.
(19:35):
Então assim, eu já mandei aquela injection para a empresa e o cara falou, isso aí não énosso não.
Aí tempo tava lá, nome da empresa é gigantesco lá e o cara falou, não é nosso, então...
Pra quem é pesquisador, só resta sentar e chorar.
Claro que a plataforma, meio que vai...
(19:58):
Na maioria dos casos, tá do lado do pesquisador porque assim...
A Bug Crowd, tem uma coisa chamada VRT.
Que é como se fosse a classificação própria deles.
Então assim, o SQL Injection ele já está predefinido como P1 que é a vulnerabilidadecrítica ali a que é tipo P1 é crítico, P2 é alto, P3 médio, P4 baixo e P5 é informacional,
(20:28):
Então assim, se eu mando SQL Injection ao invés de fazer o cálculo do CVSS na Bug Crowdereu vou lá e seleciono SQL Injection, ele já vai ficar como P1 que é o crítico.
Uhum.
Então eles partem do pressuposto de que toda a Skeletal Ejection já é crítica.
Aí assim, depois desse processo de triagem e tudo mais, pode ser que eles vão lá e mudempra alto.
(20:51):
Depois desse primeiro passo ali, podem só ir lá, a própria plataforma, e mudar esse statusde crítico pra alto ou pra qualquer que seja outro status.
Como eu é complicado não...
Não tem...
(21:11):
É...
Você manda e deixa lá.
Não liga não.
Esquece, manda e esquece.
Isso é foda porque olhando do ponto de vista de AppSec agora, para a galera que estáouvindo a gente, ele lidou com muitas ferramentas no dia a Você roda um SAST, roda DAST,
roda o caralho que for lá.
(21:32):
E ele te reporta, o SAST trouxe aqui crítico, não, SQL Injection.
Aí de novo, você vai lá e fala, cara, o scan de forma cru ali, ele falou que é crítico.
Mas de novo, é uma base que...
ela é relevante, uma base transacional, ou de repente é até uma aplicação que estáinterna, não está exposta para a internet, por exemplo.
(21:54):
Então você vai lá e muda a classificação.
Isso é natural.
O próprio CVSS vai ter ali uma classificação que vai definir a criticidade, mas o impactodele negócio, no fim das contas, ele tem meio que essa...
Eu não vou dizer arbitrariedade, porque você tem uma verdade por trás de tudo isso, mas...
Ele acaba ficando, acaba tendo um critério a mais ali.
(22:16):
O que é difícil, como você falou, é difícil para o pesquisador definir esse critério,assim como para as plataformas, O grande problema aqui seja talvez a ética, né?
Que a empresa fala, não, realmente é problema, realmente é problema crítico, eu não estousó querendo me beneficiar, o cara achou problema para mim, mas ainda vou pagar menos para
ele.
Não, beleza, é problema crítico mesmo, reconheço e vou fazer o pagamento.
(22:36):
Acho que tem uma questão ética aqui que fica difícil, porque eu olho para as plataformascomo mediador, E fica bem difícil deles resolver esse problema.
Até pra gente ir pro próximo tema, há bom tempo atrás eu tive uma startup chamada TouchPizza, que era na época que tinha o iFood, Hello Food, monte de aplicativo de comida, E o
Touch Pizza tinha vários problemas offline, tipo, o cara pedia a pizza pelo aplicativo, aítava demorando a pizza do cara, o que ele fazia?
(23:01):
Ele ia lá na Apple Store e classificava o aplicativo como nota baixa.
Eu tenho a ver com o motoboy entregando a pizza na pizzaria da puta que pariu.
Só intermedia o pedido.
É mesma coisa você ligar, o cara fez o pedido pro telefone.
Aí você liga lá na telefônica, na Vivo, na Claro, fala, meu pedido tá demorando.
Não tem sentido, você foi só o campo ali.
Então, esse mediador acaba tendo papel ingrato ali no meio.
(23:24):
Não é culpa do cara, né?
Então, ele não tem muito o que fazer.
O que a gente fazia depois era conversar com as pizzarias, o tempo de entrega, o tempopode melhorar, aquela coisa toda.
na hora ali não tem muito o que fazer.
É boa.
Mano, próxima pergunta, aliás, antes da próxima pergunta, deixa eu rodar meus...
(23:47):
Os caras não cansaram da nossa voz.
O que você sente falta em programas de bang-bond geral?
Depois desse tempo todo aí trabalhando, além disso que a gente já falou, essa relação àsvezes não tão clara, não tão ágil.
O que você sente falta além disso?
O que poderia ser diferente, melhor?
(24:08):
Tanto por divisir as plataformas ou como da própria relação com a empresa.
Como é que você vê aí?
talvez uma triagem mais rápida mas talvez isso seja pedir demais
é deixa eu pensar essa parte da triagem rápida talvez seja o ponto mais importante é ter atransparência das empresas né ali tipo elas serem injustas realmente só trazendo caso
(24:44):
aproveitando que eu lembrei eu encontrei um aidor no programa aí
e eu conseguia mudar a foto de perfil de qualquer pessoa e a foto de capa era como sefosse uma mini rede social da empresa.
assim, primeiro eu encontrei uma vulnerabilidade que me permitiu acesso a esse portal,então assim, esse portal era só para empresas, as parceiras deles, então eu consegui
(25:14):
encontrar um esquema que eu consegui me cadastrar nesse portal, aí eu mandei os caras quecolocaram que era P5, que era Low.
E
Aí não, beleza, beleza.
Aí eu fiz logo a loja nessa plataforma e encontrei monte de vulnerabilidade.
Aí mandei lá e tudo.
(25:36):
Aí isso, eu mudar a foto de perfil e mudar a foto de capa, o cara falou que era médio.
Aí entra naquele ponto que você falou, tipo assim, tudo bem, você consegue mudar a fotopra qualquer coisa que você quiser.
mas pra gente não tem impacto.
era interno na empresa.
(25:57):
Não, não era interno não.
Era...
Era externo.
fosse só interno, eu concordaria com os caras.
Mas como você falou, você conseguiu cadastrar de fora, então de uma certa forma estápúblico.
Aí você bota a foto da giromba lá no perfil de alguém, está exposto publicamente, já era.
Aí o impacto é muito maior.
A reputação, cara, não tem como, né?
(26:18):
Então acho que se eles são essas questões aí da triagem rápida, a transparência dasempresas, ou melhor política das empresas também nos programas, tipo escopo mais
abrangente, porque às vezes a empresa ela restringe demais.
um prog, claro, também não sei da necessidade deles, né?
(26:38):
Mas assim, eu vejo que eles colocando escopo mais abrangente, eles conseguem, sei lá,tipo, ter mais noção do que tá vulnerável e tudo mais, acho que seria bom tanto pra eles,
principalmente pra nós, bug hunters aí, que ia conseguir mais grana aí.
(27:00):
Inclusive, o que a gente gravou no episódio 2, 3 episódios atrás, a gente falou exatamentesobre esse ponto.
Beyrut tocou muito bem nesse ponto de...
Preciso montar programa de AppSec, tá bom.
Entendi a necessidade.
A primeira coisa que eu preciso preocupar é exatamente com o meu processo de triagem.
Não só questão de confiar na plataforma, mas tá, como é que eu, recebo isso?
(27:20):
Vem ticket no meu Gira, vem canal especial separado pra isso?
Vai ter alguém olhando pra isso?
não se 24 por 7, não sei se faz sentido nesse sentido, mas até lá, até alguém olhando paraisso que vai de fato alguém de AppSec conectado com os times de desenvolvimento, porque às
vezes o cara de AppSec vai estar ali mais para validar a vulnerabilidade geral, mas elevai ter que falar com alguém de desenvolvimento, cara, tem problema aqui nesse sentido,
(27:42):
aquela coisa toda.
Então a gente falou muito nesse sentido de como é que eu estruturo esse processo internode ter programa de triagem efetivo para que essa relação...
seja importante porque no fim das contas o que eu quero como empresa?
Ficar pagando Bounty Infinito?
Não, eu quero estar mais seguro.
(28:03):
E o que o pesquisador quer?
Receber Bounty Infinito.
E para isso ele vai dedicar o tempo dele, aquela coisa toda.
Então é importante que para o meu programa ser atrativo eu crie uma reputação, se sou umaempresa que já tem reputação é cenário, mas se eu uma empresa nova que eu crie uma
reputação no mercado de que eu tenho relação boa com os pesquisadores, de que...
(28:24):
Eu garanto que eu tenho processo aqui de triagem de ládio, X tempo, e o cara sabe que elevai mandar e dentro de 30 dias ele recebeu, ou o reporte foi cancelado, porque de fato
pode acontecer também, de fato não é problema, nem sempre é problema, porque gente entrounesse ponto agora e essa próxima pergunta.
O tanto de gente que também tem do outro lado agora como pesquisador, também, nãofraudando, mas jogando qualquer coisa, manda reporte, manda reporte, se passar, passa,
(28:51):
você sabe?
E aí acaba...
prejudica no fim das contas vai prejudicar esse processo de triagem que acaba alguém vaiter que dedicar tempo para ver aquilo consequentemente impacta os outros não sei se você
reportou bug mas pode demorou porque tem cara do outro lado tá fazendo a triagem de 800 dereporte que os caras mandaram e era 800 merda lá que cara tá mandando coisa avulsa né se
(29:14):
você depara muito com isso também galera mandando coisa um programa não sei se dá pra teressa visibilidade né programa
quantos reportes foram mandados, Mas tem isso?
Do seu lado você tem essa visibilidade?
Do meu lado não tenho visibilidade desse tipo, dessa questão de quantos reports foramenviados, quantos foram aceitos.
As plataformas até tem algumas delas, só que não são todas.
(29:40):
Sobre essa questão que você falou, a Hacker On, ela meio que tem um esquema de pontuação,que por exemplo, você precisa de x pontos para poder enviar reports.
Então, exemplo, se você mandar muito lixo, você vai ficar com a pontuação negativa.
Eles vão meio que tirando pontos seus.
(30:01):
Você vai ficar com a pontuação negativa.
E com essa pontuação negativa, você não consegue enviar novos reportes.
Você tem que esperar tempo lá, não sei quantos dias, pra você poder enviar reporte novo.
Essa é uma forma que eles encontraram de...
de limitar ali esse pessoal que fica mandando lixo e tudo mais.
Na Bug Crowd eu não sei se tem alguma coisa desse tipo.
(30:23):
Na bug crawler eles tem esquema de tirar pontos também, então você mandou alguma coisa láque estava fora do escopo, que eles entenderam que você só fez eles perderem tempo, aí
eles vão lá e tiram um ponto seu.
E na hacker on tem essa questão que eu falei da...
(30:44):
bloqueio temporário de...
relacionado ao lixo que você enviou eles tirarem da sua pontuação e você não consegueenviar novos reportes.
E pra ter o cadastro na plataforma como pesquisador, você consegue fazer cadastro, não voudizer anônimo, mas você tem ter uma certa validação de identidade, porque se não, ficar
lá, galera vai ficar lá, a galera a a a a a a galera vai ficar
(31:10):
É, não tem validação não, pelo menos quando eu criei não tinha validação, você só cria lá,bota o seu email, ou que eles querem, lá.
É, coloca o seu email, cria conta e já era.
A única coisa que associa você ali, se for parar pra pensar, é o email e os seus dados depagamento, que você tem que fazer o cadastro lá e tudo mais.
(31:32):
Mas de resto, acho que não...
que não tem não alguma coisa que possa ter que ficar.
Eu acho que tem uma plataforma, se não me engano, é o YesWeReq que ela pede pra você o opassaporte.
Eles tem que ir ao ICI e pedir o passaporte pra pra validar.
Se você não tiver essa validação, você não consegue receber nenhuma recompensa nem enviarnovos reportes.
(31:57):
Boa.
Acho que essa questão ajuda a filtrar pelo menos pouco, questão da pontuação, a filtrarpouco do lado da empresa.
Outra pergunta é, com relação aos pagamentos, como é que a questão de imposto sobre isso?
Porque imagino que você não tenha que ter uma empresa emitir nota.
Você bota lá a tua conta bancária, paypal da vida e recebe.
(32:19):
Imagino.
É assim?
Tem alguma questão, algum problema com isso?
Ou você nunca parou pra se preocupar?
Você já tá milionário?
Se você tem pagar meu imposto, paga mesmo, tem problema.
É...
não...
não...
eu...
o que tem a ver assim...
Eu tinha papai, eu um...
Também tinha, minha vida.
(32:39):
Galera que está escutando deve ser com podcast.
Façam filhos!
Para com essa cabeça de...
Essa geração nova aí que não quer saber de pai de pet, pai de planta, não.
Pai de gente.
Façam filhos que no meio da gravação vocês vão ter eu te amo, você não tem coisa melhor.
(33:02):
A minha...
Pegando gancho nisso daí...
e
minha de vez quando, se ela tá casa eu evito gravar ou fazer coisa online, porque eu seique ela vai vir no quarto aqui.
Mas é barato porque normalmente ela vem...
Normalmente a minha vem, quer que eu abra o Paint pra ela ficar desenhando no Paint aqui.
Tem três anos, uma alemã sabe rabiscar, Mas enfim, ela gosta de brincar.
(33:25):
A pergunta foi com relação a imposto, mano.
Como é que funciona os pagamentos?
Paga imposto sobre isso?
Como é que essa dinâmica aí?
Ah, tem só uma taxinha ali, que se você usa PayPal tem uma taxinha do PayPal, essa liga é6%, 3 % é coisa assim.
E com esse dinheiro ele vem de fora.
E assim, só contextualizando, eu hoje atuo como PJ aqui no Brasil.
(33:50):
Então assim, eu só atuo como PJ, não atuo como CLT.
Então assim, meus valores do trabalho oficial assim, eu recebo ali no PJ.
Uhum.
do do boi bão que eu recebo como pessoa física então eu faço duas declarações e assimsobre esse valor do boi bão não pago nada mais eu potei uma eu tenho uma pago assessoria
(34:17):
contável aqui e os caras eles fazem essa declaração para mim aí eu até perguntei não tenhonada para pagar e tal ele falou não
tá tranquilo, você já declarou aqui, beleza, então assim a única coisa que eu pague é ataxa do PayPal não pago nada mais não eu uso o PayPal né, pra receber
(34:37):
Porque no fim das contas vai cair na tua conta BR.
falar assim.
aí o que pode acontecer é a Receita Federal, cara, uma coisa é você receber, sei lá, 100mil no ano reais, outra coisa é 1 milhão no ano.
Então, algum momento isso pode virar um...
Os caras falam que cai na malha fina, não só você, mas todos os pesquisadores que a táfalando, Essa dinâmica pode ser taxada, cara não está vendendo tanto dinheiro, aquela
(35:02):
coisa toda que a gente sabe como funciona aí a questão do...
Mas é uma dinâmica, como você falou, bem tranquila.
Boa.
Eu queria agora que você fizesse alguma pergunta para mim, de o que você acha, o que vocêacha que tinha que explicar de Bug Bounce, qual a minha visão de programa de Bug Bounce.
Não sei, vamos fazer uma troca.
(35:25):
Acho que a ideia de gente ter puxado esse papo era justamente da ideia de fazer uma threadno Twitter explicando o programa de Bug Bounce.
Eu sei que eu tinha algumas perguntas mente, mas o que você acha que...
que a gente pode falar, que tá faltando.
Fala pra galera, vem pro Bug Bounce que é sucesso, ou não vem não, porque tem muitacompetição.
Não, pode vir, pode vir, tem...
(35:45):
Aí o coração de mãe sempre cabe mais um.
Aquele ranking lá do...
Não lembro qual ranking que era, mas tava você primeiro, sushi segundo.
Grande sushi com abacate que gravou com a gente aqui também, temporada 5, se eu não meengano.
A produção não tá aqui hoje pra pegar exatamente, mas queremos você aqui de novo.
Deixa eu ver aqui uma pergunta.
(36:11):
Silêncio ensurdecedor.
se...
sei lá, se tu fosse abrir programa de Bug Bounty hoje, o que você...
o que você incluiria no escopo e o que você deixaria de fora?
Boa.
Olhando para a empresa que eu trabalho hoje, é empresa financeira, E a gente tem, acho queé 90 % de aplicação crítica, 10 % de aplicação não crítica.
(36:36):
Então, olhando para o escopo hoje, eu talvez pegaria as mais críticas.
Porque é aquela história, né?
Tudo é crítico, nada é crítico.
a gente, por exemplo, a gente tem serviço de octa de autenticação que praticamente todasas aplicações usam.
Então, isso obviamente tinha que estar no escopo porque todo mundo vai passar por lá.
Enquanto que aplicações, por exemplo, de pagamentos que a gente tem, de investimento,questão de ações, olhando para o meu business, eu acho que isso definiria muito bem o
(37:03):
escopo do cara.
Isso aqui é dinheiro direto, cliente, dados sensíveis, aquela parada.
Então isso aqui tem que estar no escopo.
Mas eu tiraria, por exemplo, coisas hoje que não que são back office, mas por exemplo,aplicações que eu tenho que é...
site institucional, ainda que está num domínio principal, é site institucional, é umnewsletter que o cara cadastra, Umas coisas que podem ter problema, talvez pra esse
(37:32):
primeiro momento que a gente não tem uma maturidade muito grande, Epsec, não tão grandeque eu digo também não é zero, mas tem uma maturidade, afinal é a segunda, terceira maior
empresa financeira do mundo, eu colocarei no escopo aplicações muito críticas.
e especialmente coisas de autenticação, coisas que eu sei que são compartilhadas, mas eudeixarei de fora aplicações não tão críticas e essas que eu sei que não estão relevantes
(37:58):
para esse primeiro momento.
Mas uma das coisas que a gente está inclusive definindo é quem são as pessoas internas quevão estar ali olhando o Gira, por exemplo.
Olha, chegou report aqui do programa.
Precisa olhar hoje, precisa olhar...
tipo, urgente, como se fosse, literalmente, incidente, Tratar como se fosse incidente.
(38:20):
Não pelo time de resposta incidente, obviamente, porque tem um, né, que ali controlado,não é um ataque, mas isso chega direto pro time de AppSec.
A gente tá inclusive vendo quem são as pessoas, mas chega direto no cara de AppSec, nonome mesmo, por exemplo, vai chegar mim direto e eu já tenho conexão com os times de
desenvolvimento das aplicações que estão no meu escopo, porque a gente não...
(38:42):
é exatamente isso que a gente não quer.
Puts, cara mandou, demorei três meses para responder.
Não, cara mandou, no dia seguinte eu quero estar respondendo.
Cara, realmente tem problema aqui, me ajuda a identificar melhor, vamos corrigir, derepente subir pé, o que quer que seja, mas já para fazer essa relação acontecer, enfim.
Porque a ideia é, eu quero ter mais pesquisadores achando mais problemas para que eucorrija mais rápido.
(39:04):
Essa é a dinâmica.
Ferramenta de scan já tem, que acha minutos diversos problemas.
Então eu quero os problemas reais mesmo que vão me ajudar a ganhar essa escala.
que é isso que a gente está olhando aqui e é isso que eu faria.
E uma das coisas que a está tentando analisar também é qual plataforma.
A gente vai usar uma plataforma que já é muito claro para a gente.
(39:25):
Não dá para fazer sem no nosso nível de maturidade.
Então qual plataforma a gente vai usar?
É Bug Crowd?
É Hacker One?
Provavelmente é Hacker One, mas é feeling só, não sabe.
Na questão de preço, de valores.
Quando for abrir o programa me convida lá.
Fica de olho já, é empresa que eu trabalho chama StoneX, pedra X.
(39:48):
Daqui a pouco tem o programinha aberto aí.
Mas se achar não fica postando aí não que ganhou mil dólares, porque aí vão falar que nãoestá resolvendo os problemas dos caras da pagaria.
Não, estou brincando, pode postar.
Porque aqui a gente tem um time de AppSec, eu estou há ano na empresa, a está elevando amaturidade, a gente tinha uma maturidade de sei
(40:10):
de 0 a 10 era 2, eu diria que hoje está 3, mas a ideia é, obviamente, sempre evoluindo etal, deve implementar tudo que a tem na cabeça, seria diferente, mas enfim, gente depende
de bugs e tal.
Mas uma das coisas que o nosso SISO tem mente é, por exemplo, complementar ou até trocarum programa que gente tem contínuo de pen test por bug bounty.
(40:34):
Então é uma discussão, faz sentido isso, não faz sentido, né?
do lado da...
da empresa já custa uma grana fazer penteste anual.
Então faz sentido eu trocar essa grana e pagar para Bounce, por exemplo, ou usar os dois,enfim.
Então é uma discussão que está tendo aqui para ver o que faz mais sentido para a empresa.
Eu por mim manteria os dois porque são coisas completamente diferentes.
(40:55):
Mas enfim, Porque, por exemplo, do ponto de vista compliance, a empresa não fala, eu tenhoprograma de bug Bounce, ela tem que falar, tá aqui report de penteste.
Então trocar as duas, trocar pelo outro é muito difícil, Eu acho que os dois vão se...
se complementar.
O que você acha disso aí?
Eu realmente acho que os dois se complementam, até porque o Pentash ali querendo ou não émais abrangente, Você consegue ter uma visão melhor ali de coisas menores que as pessoas
(41:28):
não enviam no Bug Bunting, então por exemplo...
é tem alguma tem sei lá ó não que isso não seja importante ou que seja também a cabeça desegurança é uma coisa que ninguém nunca vai reportar em e assim por mais que não seja tão
importante é uma camada mais segurança ali que é colocado na aplicação e isso não podereportar bug bão e é assim lá ataque de brute force
(41:58):
Hate Limit, por exemplo, tem empresa que não aceita essas explorações que envolvem HateLimit, Brute Force e no PaintTest meu que não tem essa limitação, você pode mandar e
dependendo do cenário, isso é até importante, Porque por exemplo...
(42:20):
é...
sei lá, tem uma API que tá vulnerável lá e tu consegue varrer o end point lá puxando montede informação e não tem hate limit no negócio, se tivesse você conseguiria sei lá só 10
por conta do hate limit, mas aí não tem que você conseguir o milhão então eu acho queesses processos assim eles tem que andar juntos, conversam bem né, o paint test e o
(42:47):
programa de blackbount ali
eles estão ali de mãos juntinhas
Eu acho que...
Voltando à sua pergunta pra mim, O que eu colocaria no meu escou, por exemplo?
Eu não colocaria essas limitações.
Por simples motivo.
O cara que vai te atacar de verdade, ele não tem limite nenhuma.
(43:08):
Ele não tem ética, eu não sei que caceta que as empresas pensam.
Não, olha, pra você participar do meu programa de bugbaunt, você tem que usar umafantasia, cosplay, você tem que estar no IPX, vai pra casa da caceta porque o cara vai te
atacar da Rússia.
da China, da puta que eu pariu, sem escrúpulo ética limite nenhum.
(43:28):
Então a ideia é que o teu programa literalmente traga ou esteja mais próximo do realpossível.
O skill do pesquisador, o skill do hacker, o que é que você...
O skill é o mesmo, né?
Talvez, obviamente, pouco mais ou menos, mas os skills do cara do outro lado é o mesmo.
A diferença é, um, você vai pagar pra ele porque ele tá te ajudando a resolver o problema.
O outro, ele vai te causar impacto muito grande, vai custar muito mais.
(43:51):
do que muitas vezes o teu pen test ou o teu pão.
Então, essas limitações, eu entendo que talvez tenham diversos motivos.
Claramente eu não consigo ver do ponto de vista de, eu quero ir no médico fazer exames eachar problemas.
Eu não quero ir no médico e ei, está tudo bem, vai pra casa.
Senão eu não ia, eu fico casa.
(44:12):
Tá ligado?
É meio loucura essas limitações.
O que mais, mano?
O que mais você quer acrescentar aí?
Quer trazer pra galera?
O que você acha que faz sentido?
pra gente encaminhar pro final.
Hum, deixa eu pensar aqui...
de Bug Bounty no Brasil?
Não, não dá não.
Pelo menos eu assim, eu não me imagino vivendo Bugbao, não te imagina?
(44:34):
Os casos que eu falei que você reporta e aí passa três meses pra você receber.
Aí você faz o que?
Nesses três meses você vai ficar chupando o dedo ali e sorrindo?
Aí não dá, né?
Porque tem gente que fala que nem você falou, ah, eu participei de programa de 23 mildólares só esse ano.
pô, sei lá, 23 mil dólares vezes 5 dá 10 mil.
(44:59):
10 mil não, 100 mil.
Pô, legal, divide isso por 12 e tal.
Beleza, mas os três meses que você não recebeu aquilo ainda, as contas estão para pagar acomida, estão para comer.
A pequena está aí gritando com as fraldas e com a comida não funciona assim, né?
coisa é...
Então é complicado, não sei.
Eu nunca me imaginei vivendo Bug Bounty, a minha meta sempre foi ali trabalhar na área si,ter Bug Bounty só como hobby mesmo.
(45:30):
Eu tenho um conhecido que mora aqui na Polônia também, ele é brasileiro.
Inclusive, um dos fundadores da área 31, que é o Hacker Space lá de PH.
Ele tem todo um framework dele que ele desenvolveu para fazer um pen test geral, mas parafazer pen test automatizado.
(45:51):
Então, lá, você bota o domínio e roda a parada que ele fez lá.
Vai ter uma série de vulnerabilidades que vai vir ali, uma série de filtruzinhos, tal,porque...
do output daquela ferramenta que ele criou é os que ele vai dar atenção, deixa eu fazertrabalho pouco mais manual aqui, mas ele já desenvolveu essa automação do que cada bug,
bug, cada novo teste que vai fazer começa do zero, faz reconhecimento, domínio, sei lá oque, não cara, já tem aqui uma série de coisas pré preparadas que é meio que comum para
(46:19):
qualquer teste payloads maliciosos, enfim, coisas do tipo, autenticação, enfim.
que dispara ali, beleza, o que passou aqui eu já vou dar uma filtrada.
O que não veio, obviamente, eu nem deveria dar atenção porque dos pontos críticos, assimque você falou, é o tempo.
Quanto mais rápido você achar o Bounty, melhor.
Porque tem isso também, tem os famosos duplicados.
Como é essa questão dos duplicados?
(46:39):
Expliquei pra galera.
O duplicado é quando alguém mandou antes de você e aí você fica chupando dele lá e não temo que fazer também.
O bom é que pelo menos na bugcrowd ela mostra uma prévia do programa que você tomouduplicado.
(47:00):
Então vamos supor, você mandou uma vulnerabilidade ontem eu mandei uma hoje.
aí não vai aparecer, o Cássio enviou a vulnerabilidade e tal, mas tipo vai estar lá otítulo da vulnerabilidade e a data que ela foi enviada, o escopo afetado e coisa e tal.
Então assim, Aí tem pra ser quando eles dão o duplicado eles já linkam o teu reporte aoprimeiro reporte que foi enviado.
(47:28):
Então meio que...
Na Bugcrowd pelo menos eles fazem isso.
Na Hackeron eles linkam também o report só que aí tem casos que você não consegue verporque eles falam que tem informação sensível e não sei o que.
Assim eu acho legal essa abordagem da Bugcrowd porque você consegue ser tipo é mais clarocom o pesquisador.
(47:55):
o canal ele lá e fala não beleza esses caras aqui eles deram duplicado no que tá certoporque você pode só confrontar eles também a se o cara deu duplicado errado e para ser
mandou no domínio google.com aí eu mandei no gmail.com então não é duplicado porque osdomínios são são diferentes então posso só chegar lá e dizer ó tá errado aqui aí eles vão
(48:16):
reabrir o reporte
E tudo isso está esperando o papai receber, tem todo...
é trabalho de...
Tudo isso é dentro do trabalho de triagem, né?
Que é o mais crítico que gente acabou de falar.
E as contas chegando.
e as contas chegando, boleto pingando que não para.
Caramba, cara, que jornada.
Então, Bug Bounce, de fato, é uma jornada que dos dois lados, é uma relação, literalmente,entre a empresa, pesquisador e a plataforma que está ali mediano.
(48:44):
E é importante que tudo isso seja bem estruturado, ponto de vista não só da empresa quequer criar programa de Bug Bounce, como a falou no episódio 1, 2, 3, episódios anteriores
e pouco agora.
E como que é essa percepção tua do lado do pesquisador,
o que fazer, como é essa interação.
E vale um detalhe também, Eu vou acrescentar aqui, me corrija se eu estiver errado.
(49:06):
Tudo isso está acontecendo em inglês.
Porque a galera do Brasil, às vezes, acha que o mundo gira torno do Brasil e é ocontrário, né?
A gente precisa aprender inglês porque praticamente tudo isso acontece em inglês.
E aí, última pergunta pra gente encerrar.
Tem muita empresa brasileira participando de programa, expondo o programa About, você sóparticipa de empresas de fora?
(49:27):
Como é que isso aí também?
É, tem muita empresa, só que assim, comparado a empresa gringa não tem comparação, né?
Tem inclusive a plataforma de bug bound brasileira, algumas plataformas, né?
Tem a Bug Hunt, tem a Hunters Pay e tem a Bug Pay, são três plataformas brasileiras que eusei da existência, assim.
(49:53):
Então assim, a Bug Hunt ela...
Ela tem diversos programas brasileiros, o foco dela acho que é mais programa brasileiroassim, acredito que deva ter algum programa gringo.
A Hunters Pay também tem programas só brasileiros.
E a Bug Pay também tem programas só brasileiros, são plataformas brasileiras então, queimagino que o foco dele seja aqui no Brasil, nas plataformas gringas.
(50:16):
Tem sim alguns programas BR, mas não são tantos.
Mas assim, pelo menos tem empresas gigantescas, como por exemplo a Nubank, que eu tô notop 1 lá ainda.
Tem o Banco Inter na Hackeron.
Tem a...
(50:37):
Ah, tem várias, porque eu não vou lembrar de bate pronta assim, mas tem várias.
E tem muitos que eu sei que tem programa, você vai no site dos caras, lá, reporte aquibug, tem programa, eles meio que fazem direto sem participar de uma plataforma.
Não, assim, essa questão de reportar bug lá no site deles fica bem implícito, né?
Porque...
(50:57):
É, não...
É, você fica assim, você vai reportar bug ou você vai reportar uma falha de segurança?
Porque a coisa é que você reporta lá...
O botão não tá funcionando.
Outra coisa é, eu cliquei no botão e transferi R para uma conta que não é minha.
Então...
Tem essa diferenciação, assim.
(51:20):
Inclusive, dos pontos que a gente está tentando fazer aqui é deixar isso transparente nopróprio site da empresa, porque às vezes o cara achou uma falha, a gente já recebe falhas,
porque gente não tem programa hoje, mas gente já recebe.
Então colocar bem claro um TXT no domínio, exemplo, cara, ó, tá aqui onde você reporta,política, e-mail, contato das pessoas, pra deixar isso claro do que a gente tá preocupado,
(51:40):
a gente quer fazer o famoso reporte responsável, que a galera chama, Porque tem esse lado.
De novo, quando o cara vai te atacar, ele vai te atacar e foda-se.
Mas criar essa imagem e, literalmente, uma relação de que a empresa está preocupada comisso, que o pesquisador tem lugar seguro para reportar, para entrar contato com a gente,
porque é tudo sobre relação, né, mano?
(52:03):
A empresa quer ser transparente e o cara quer reportar e ser pago, reportar de uma formasegura e ser pago.
No fim das contas, é só isso.
Então, para que dificultar isso?
A ideia é facilitar isso.
Falando nisso, me lembrou ponto só pra finalizar.
A Mastercard tem uma exigência na política bem esquisita que é você mandar o seu IP ecolocar o cabeçalho lá em todas as requistas que você vai enviar.
(52:35):
E se você não fizer isso, eles dão uma bate de 30 % no valor do Bounty.
Então se você vai receber lá mil dólares eles tiram 300 dólares lá porque você não mandouseu IP para os caras no report.
É?
Oxe...
É, seu hacker, quando você for me invadir aqui, você me invade com o mesmo IP pra ficarmais fácil minha forense, tá?
(52:59):
Puta que pari...
Bate naquele ponto lá que você falou.
Bom, vai entender, né?
Beleza, mano, vamos deixar pra próxima.
Tem muita coisa pra falar, mas acho que já tem norte bem importante.
O que é programa de Bug Bounce?
A galera já sabe o que é.
Como, enfim, participar, descansar.
(53:20):
Você falou de plataformas brasileiras aí.
Se tiver alguém ouvindo dessas plataformas, queremos vocês aqui.
Vem gravar com a gente, vem bater papo com a gente, Até patrocinar também, problema zero.
Estamos aqui aceitando qualquer sugestão.
Mano, mais uma vez, obrigado.
Esse episódio foi um parto para a conseguir a agenda, mas deu certo.
Sentamos aqui, deu certo para a gente gravar.
(53:41):
Alguma mensagem final, algum oi, algum abraço para alguém.
Para a pequena que estava falando, eu te amo, papai.
Abraço para a família e para a galera que está assistindo Busca Conhecimento.
É isso aí.
no Twitter, parem de ficar arrumando treta, né?
assistir.
(54:04):
Ai, cara, dou risada.
Não para.
Não, esse cara não para, esse cara só quer tretar e trabalhar nada, velho.
Eu dou risada, é muito bom.
Pessoal da bolha deve que tiver vindo nesse episódio, vem aqui participar.
Eu estou tentando arrancar alguém de lá para falar.
vez de ficar tretando no Twitter, vem tretar aqui.
Pelo menos aqui a gente agrega alguma coisa.
Faz o cara aprender sobre segurança, enfim.
(54:25):
Mas está bom, está bom.
gente espera.
Mano, obrigado mais uma vez.
Pessoal, esse foi mais episódio de DevCecox Podcast, o segundo da sétima temporada.
Sejam muito bem-vindos mais uma vez e com certeza a gente se vê na semana que vem.
Valeu!
Valeu!
(54:49):
E aí
Aê!
e aí
Olá, jovens!
Sejam muito bem-vindos a mais episódio de Debate C cups Podcast.
(00:28):
Eu sou o Caso Pereira.
Eu só não estou sozinho hoje, porque o nosso convidado é ponta firme e está aqui, porqueos outros dois vagabundos estão aeroporto, estão passeando no parque.
Como faz parte desse podcast?
O salário está dia, mas o galera não vem participar.
O que importa é que o nosso convidado está aqui hoje, mais uma vez.
Inclusive, nem tem a produção aqui para a lembrar qual foi o episódio ele participou, masjá a gente puxa a informação.
(00:51):
De qualquer forma...
foi na temporada passada, porque estamos na sétima temporada do DevSecOps Podcast.
Este é o seu segundo episódio, não se esqueça que temos mais de 180 episódios para vocêconferir aí no DevSecOps Podcast.
Antes de reapresentar o nosso convidado de hoje e entrar no papo de bug bounty, que o quea vai falar hoje, inclusive dois, três episódios atrás, a fez episódio com o time, o
(01:14):
Marcos e o Benyur, e a gente conversou bastante sobre como montar programa de AppSec doponto de vista do time de AppSec.
do lado da empresa, qual a importância de ter programa, porque eu preciso de programa deAppSec e, especialmente, quais elementos esse programa deve conter para que seja bem
sucedido, para que tenha ali um relacionamento interessante com o pesquisador, que é quemestá dedicando seu tempo e tal, para achar ali as falhas, enfim, e, fim das contas, ajudar
(01:39):
a nossa empresa.
Mas antes de falar sobre o episódio de hoje, vamos lembrar que o DevCop Podcast tem oapoio da Nova8, que é atribuidor da SNIC no Brasil.
e a Purple Bird Security que vai cuidar de você durante e depois do incidente.
Então quando o nosso convidado aqui, por exemplo, estiver te invadindo e te atacando paraganhar um mount, você vai trocar a ideia que a Purple Bird Security que eles vão ajudar
(02:00):
vocês com relação aos incidentes.
Não se esqueça também da Gold Security, que tem serviços especializados segurança deaplicações, e a DigitalWoke, que é portfólio completo para você AppSec.
E, é claro, a nossa nova parceira, a Conviso, que protege a sua organização contra fraudese ataques cibernéticos.
É uma consultoria especializada em...
Desculpa, calma, calma.
(02:21):
É uma consultoria e plataforma especializada AppSec para instituições financeiras eempresas que lidam com dados sensíveis para fortalecer a gestão da segurança de
aplicações.
boa.
Agora que eu li minha colinha aqui, ainda li errado ainda.
Nosso querido convidado...
Cangaceiro que está aqui mais uma vez com a gente, inclusive essa camisa, essa camisaantiga, cara, da Malboro, né?
(02:43):
Porra, essa é véia.
Para quem já foi preso sabe muito bem que é Malboro, né?
Na cadeia, muito bem-vindo, uma moeda de troca, né?
Mas meu amigo, seja muito bem-vindo mais uma vez, se apresenta pra galera pra quem aindanão te conhece e vamos começar a patrocinar o podcast, né?
Muitos dólares aí nos bounts que você está ganhando.
Vamos compartilhar com a gente, né?
(03:04):
bora bora então é meu nome é João Victor meu nome real é João Victor mas usou essecodenome cangaceiro eu atuo com cybersegurança aí vai fazer cinco anos ano que vem de
maneira oficial né no mercado de trabalho
(03:26):
Eu atuo com bug bount antes de realmente na segurança então devo ter uns 5 anos que eumexo com bug bount.
sei lá, minha apresentação talvez seja isso, eu não sou muito bom pra falar sobre mim não.
Para quem quer conhecer mais sobre o João Vitor ou o Cangaceiro, dá uma olhada lá no X, noTwitter.
(03:49):
Ele é bem ativo lá.
cara, todo dia tem print.
300 dólares na conta, 1.000 dólares na conta.
cara já é milionário, mas ele está aqui participando com a gente de forma humilde paracompartilhar pouquinho da sua informação.
fakes, eu só vou lá, edito a HTML, leio no email e posto lá, entendeu?
É igual a galera do Build in Public, Os caras colocam um MRR de 1 milhão por mês, 2 milhãopor mês.
(04:13):
A onda é essa, né?
Tá certo, postou a verdade.
Bom, meu amigo, vamos lá então.
Vamos conversar pouquinho sobre programa de Bug Bounce.
Eu queria já começar falando, pelo menos fazer uma pergunta, Do ponto de vista teu comopesquisador e que tá ali diretamente atuando com as empresas e dedicando o teu tempo ali.
Como é que você seleciona...
(04:34):
Qual programa que você vai participar?
Tem pouco, obviamente, na minha concepção, o preço si, o bount si, o tamanho dos ganhosque você pode obter, acho que é fator determinante.
Mas tem também uma questão do tipo, poxa, vou participar do bount da empresa A, mas daempresa B eu não vou.
Quais outros fatores, além obviamente da grana em si, te motivam a selecionar esse ouaquele?
(05:03):
São alguns fatores.
O primeiro deles é o escopo.
Então, pra mim o escopo tem que ser bem amplo pra que eu consiga analisar, pra que euprefira aquele determinado programa.
Não significa que eu não analise os outros, mas eu consigo dedicar mais tempo e saber queeu vou obter melhores resultados no escopo amplo.
(05:29):
Então...
Foi até o Sushi que me indicou num programa de Bug Bounty de um amigo dele que trabalhavanuma empresa lá e tal.
Aí ele acho que pediu algumas indicações de pessoas pra participar do programa, acho quetava meio parado, não sei.
E nesse programa acho que eu já angariei uns sei lá, 23 mil dólares durante esse ano.
(05:52):
Porque...
eles têm um escopo gigantesco então eles aceitam todos os subdomínios da empresa elesaceitam domínios relacionados então por exemplo vamos imaginar que seja a Google aí a
Google tem o domínio google.com e tem o domínio gmail.com então eu posso analisar todos ossubdomínios desses dois domínios e agora teve algumas mudanças na política e tudo mais
(06:21):
Mas eles aceitavam até coisas de terceiros, esse programa específico oferece plataformascomo serviços, tipo SaaS, e os terceiros hospedavam esses serviços, essas aplicações em
servidores de propriedade deles.
(06:43):
Uhum.
era uma coisa ainda maior do que eu gostava, do que eu gosto de analisar, entendeu?
Então era leque gigantesco pra fazer essa análise.
Então só recapitulando, um escopo bem amplo, sobre domínios, domínios relacionados,domínios de terceiros, não ter muita limitação na política.
(07:13):
Por exemplo, tem programa que já fala lá, não aceito xss, ah, não aceito Open Redirect,nem reporta vulnerabilidade low que você vai perder ponto.
é complicado.
Então, eu prefiro focar nesses assim que são mais abrangentes.
Boa, isso já traz pouco de uma dúvida que eu tinha.
(07:33):
Às vezes a galera está sempre olhando bom, eu tenho a capacidade aqui de achar uma falha eganhar 10 mil dólares, uma porrada só.
Ou uma falha e ganhar 500 dólares.
Óbvio que talvez os 10 mil chamam pouco mais de atenção, mas é 10 mil dólares nosubdomínio x.com, nem você falou, né?
O exemplo do Google, x.google.com.
Mas aí quando você analisa a aplicação geral, aplicação faz monte de request pra...
(07:56):
Alt.Google.com, sei lá, vários fluxos estão fora daquele escopo.
E aí quando você acha uma falha, ela acaba passando por outros escopos que ela acaba nãosendo válida considerando essa questão do escopo.
Ou seja, você gastou tempo ali, tempo, dia, um ano, vamos falar assim, para achar algo quevocê não pode reportar no final porque está fora do escopo.
Ainda que você reporte, ainda que seja problema de fato, do lado do pesquisador, que cara,estou aqui dedicando o tempo que eu quero, essa grana, não valeu a pena.
(08:24):
No final das contas você não vai ganhar, dificilmente eles vão te pagar.
Faz sentido também, e muito bem que você colocou essa questão da política, não adiantareportar esse que era injection, xss, que não estamos nem aí.
Porque os caras, esse bobeiro até sabe que tem esses problemas, acaba sendo chato também.
Muito bom, do ponto de vista do tempo, agora eu quero entender como que é essa questão dotempo, por exemplo, você dedicou lá...
(08:53):
colocar uma semana, No cenário fictício aqui.
Então você ficou uma semana, seja uma hora por dia, duas horas por dia, dez horas por dia.
Mas é lá, gastou uma semana, duas, pra achar uma falha.
Você achou a falha, reportou.
O tempo, entrar presa, fazer essa triagem, essa validação, reproduzir os passos a passosque você colocou no report, entrar contato com você de volta, falando, beleza, é problema
(09:19):
mesmo, tá pago ou não, precisa de mais informações.
Ou...
Esse processo demorou mais de três meses, o cara te dá a primeira resposta, ou pior,sequer respondem.
O quão importante é essa questão para você do tempo?
Porque você acaba esperando, você terminou o seu trabalho ali, mas pode ser que eles peçammais evidências, ou às vezes, de repente, entrar uma call aí para ajudar a gente a
(09:40):
reproduzir, sei lá, coisas do tipo.
Eu quero entender do teu ponto de vista como que é esse tempo, o quão impactante ele é.
Talvez para você, aqui é difícil decidir qual o programa sem você ter participado doprograma e saber qual o tempo que vai demorar.
Mas obviamente as empresas já tem uma certa reputação, alguns programas já tem uma certareputação.
Mas como que era o dia a dia essa questão do tempo?
Obviamente quanto mais rápido, melhor, mas ao mesmo tempo quanto demora significa que jáestá perdido, você fica esperando.
(10:05):
Como que é isso?
Essa questão do tempo é uma coisa bem frustrante para quem mexe com Bug Bounce Euparticularmente tenho experiências bem diversas, inclusive nesse programa que eu mencionei
porque tem vulnerabilidade que eles...
(10:26):
No Bug Bounce primeiro é feita a triagem pela plataforma Então a plataforma ela valida e apartir da validação dela
aí já é problema da empresa.
Então assim, a plataforma fez o trabalho dela de validar e passar para a empresa.
Isso aqui é válido.
Agora é com vocês aí se vira e segue os próximos passos.
(10:52):
A partir disso, tem empresa que só caga e já era.
Esse foi dos casos que até que postei no Twitter tempo atrás, lá no AX, que eu mandei umreport lá que eu conseguia manipular o valor de cursos, da plataforma tinha cursos de,
(11:12):
acho que...
3 mil dólares, 6 mil dólares, eu conseguia comprar o curso por zero dólares.
Eu conseguia só comprar o curso e ficar lá.
E os caras passaram 4 meses pra validar e pagar a vulnerabilidade.
Então assim, é complicado, assim, mesmo programa teve outros casos que os caras pagaram 2dias, 3 dias.
(11:39):
Da mesma empresa, da mesma empresa.
Então, meio que tem essa variação assim.
E o que nos resta é saber lidar com essa questão aí do tempo.
E tipo variar assim, reportar vários programas, porque aí, meio que você não vai ficardesamparado do ponto de vista do dinheiro ali, porque você tem vários programas, cada
(12:09):
programa tem uma...
tem suas particularidades ali, então pode ser que dia algum você receba ali,periodicamente, receba mais rapidamente e esses que demoram você vai esperando ali o tempo
deles.
Você sabe se tem alguma, com relação às plataformas, talvez Buggy Crown, Hacker One, sejamas mais famosas, Você sabe se tem algum controle do lado deles para auxiliar não só a
(12:39):
empresa nessa resposta do...
Como você falou, eles já fazem a validação, imagino que já triagem, mas auxiliado tipo,você já passou uma semana e você não respondeu ainda.
Duas semanas, dez semanas, ano, cara?
Precisa responder.
Ou do ponto de vista, não sei se só de notificar a empresa...
E como que é essa relação com vocês pesquisadores?
tipo, mandamos notificação para empresa, estamos também aguardando.
(13:02):
Porque é o que você falou, do lado da empresa, cara, eles têm o tempo deles.
Até aceitável.
Mas como é que essas plataformas talvez possam estar tentando ajudar os dois lados?
Tanto do tipo do pesquisador, estamos tentando o contato, quanto o tipo da empresa, opesquisador está te esperando.
Não sei se seria similar ao...
É que agora eu tô fora, uso mais mercado livre.
(13:23):
Mas, por exemplo, aqui gente tem aplicativo que gente compra e tem uns esquemas tipo, oproduto chegou, eles têm rastreio, né?
Chegou, eles já te pedem, faz uma avaliação pro produto, dá uma avaliação pro cara domercado.
Passou x tempo, o produto não chegou ainda, eles mandam uma notificação, verifique nopost, manda uma notificação pro vendedor, verifica se não travou o produto algum lugar,
(13:46):
sei lá.
Então tem meio que certo ajuda das plataformas.
para fazer essa relação acontecer, porque no fim das contas é uma relação, tanto tua comessa empresa.
Você vê isso ou as plataformas estão meio que também, cara, limitadas, mal atadas?
Como é que você vê isso aí?
É, talvez elas fiquem meio de mão atadas porque no final das contas é a empresa que temque agir ali, né?
(14:13):
Então ela...
Pelo menos na Buggy Crowd eu consigo acompanhar ali quando a própria plataforma meio quemanda uma...
meio que um chamado ali, manda uma mensagem pra empresa.
Então aparece lá.
Bugcrowd abriu um blocker que o que eles chamam de blocker, que como se fosse umbloqueador ali para que a empresa responda.
(14:43):
E assim, para o pesquisador eles colocam um timing lá para você responder, se você nãoresponder ele fecha o reporte que é de 7 dias, mas para a empresa não sei como é que
funciona.
Eu acho que não tem é porque o meu passou 3 meses aí os caras não...
É...
E eu pergun...
Eles podem até, sei lá, fazer isso de mandar mensagem ali cobrando, como eu falei.
(15:10):
Também tem o da parte do pesquisador, Ele pode ir lá na plataforma e ele mesmo abrir umchamado.
Já fiz isso várias vezes.
Então você coloca lá o ID do repórter, coloca qual que é o repórter, qual que é oprograma.
E aí a plataforma vai lá de novo e cobrar a empresa e tudo mais.
(15:32):
Então isso coloca uma pressãozinha mais neles.
Mas no final das contas a gente tem que só esperar e depender deles.
Esperar e rezar.
Eu pergunto isso porque a empresa que eu trabalho aqui fora, a gente está exatamenteavaliando agora um programa de bug bounty para o próximo ano e obviamente usar uma dessas
plataformas.
E a gente está fazendo Pock com as plataformas.
(15:54):
Esse aí tem, cara, funcionalidades diversas, né?
Mas a está chegando nesse ponto agora do tipo, eu tenho que ter...
Você me ajuda com programa de triagem, mas é importante que eu valide.
Você validou, mas tá, mas eu preciso ver o impacto.
Pode ser puta SQL Injection absurdo numa base de dados, óbvio.
Mas aí eu vou ver, cara, uma base de dados minha que...
Não é irrelevante porque ela está lá, mas não tem dados sensíveis, não tem nada.
(16:14):
Então, beleza.
vez de crítico, é low, por exemplo.
Isso a gente vai discutir na próxima pergunta.
Mas eu imagino que quando a empresa fala, beleza, vou pagar lá mil dólares desse Bountyaqui para o cangaceiro, você vai receber esses mil, mas eu imagino que a plataforma tem
uma porcentagem disso.
Por exemplo, a empresa pagou 1.200, porque 200 foi para a plataforma.
(16:36):
Exemplo, tá?
e mil foi para o pesquisador que foi o que está anunciado ali nos bounts.
Então tem certo incentivo da plataforma de fazer isso acontecer.
Bom, cara já reportou, eu já validei agora empresa, paga e tal, porque também tem o meuganho, a minha margem ali.
(16:56):
Eu estou imaginando que não seja pagamento fixo do lado da empresa e das plataformas, massim pagamento sob demanda, para cada reporte, sei lá, coisas do tipo.
Enfim, já pingando para a próxima pergunta, essa.
Como que lhe dá essa questão da criticidade?
Você vai lá e fala, cara, tem problema aqui, crítico.
(17:17):
Porque assim, assim, assado, é crítico.
Do ponto de vista do pesquisador, é crítico.
A empresa vai lá e fala, o crítico eu pago mil, o médio eu pago 500.
Então fala, na verdade isso aqui não é crítico, isso aqui é médio.
E aí reconhece, beleza, mas te paga 500.
Como é que é essa dinâmica?
Esse exemplo que eu dei agora, puta, antes que ela injete uma base que pra mim éirrelevante, mas pro pesquisador ela pode ser muito relevante.
(17:43):
Como é que é essa troca?
Faz sentido?
É difícil aceitar?
É frustrante?
É, então assim cara, é...
É complicado essa...
Essa questão aí do...
Que você fala, velho?
Não sei nem o que...
(18:05):
Porque, por exemplo, vamos lá, a gente tem vulnerabilidades que tecnicamente elas sãoaltas.
Altas do ponto de vista, eu precisei de vetor de ataque, eu tenho uma ferramentaautomatizada, eu tenho exploit público, eu fui lá, desparei no endpoint, passou,
funcionou, beleza.
Mas o impacto disso, às vezes o pesquisador fala, cara, eu consegui chegar na tua base dedados, ponto, beleza?
(18:26):
Isso é muito grave.
Mas é uma base de dados que para a empresa ela é importante, ela é
tá lá, funcionando, é software funcional, tá produção.
Mas é uma base que, por exemplo, não tem dados sensíveis, dados de pessoas, não tem cartãode crédito, sei lá, tem dados transacionais X, que é problema, é impacto, você chegou num
banco de dados meu.
Mas ele não é crítico, o impacto pra mim, enquanto empresa, é baixo.
(18:50):
É igual falar, te deu tiro, ah, beleza, mas eu tô de capacete, eu tô atrás de uma paredeblindada, pode dar quantos tiros você quiser.
É diferente você falar, cara, te deu tiro e você tá pelado, tá ligado?
Queima roupa, então...
Então tem impacto diferente.
Como é que você se sente nesse contexto?
É fácil aceitar?
Porque imagino que essa parte da relação, a empresa também vai te explicar isso.
(19:12):
Imagino que na plataforma vai ter lá, cara, olha, isso não é alto, é baixo por contadisso, disso, disso, disso.
Como é que isso?
É, a própria blogcrowd tem essa classificação.
As outras plataformas usam aquela calculadora CVSS.
Isso aqui é complicado porque no final das contas quem vai definir a empresa, que o quevocê falou também.
(19:35):
Então assim, eu já mandei aquela injection para a empresa e o cara falou, isso aí não énosso não.
Aí tempo tava lá, nome da empresa é gigantesco lá e o cara falou, não é nosso, então...
Pra quem é pesquisador, só resta sentar e chorar.
Claro que a plataforma, meio que vai...
(19:58):
Na maioria dos casos, tá do lado do pesquisador porque assim...
A Bug Crowd, tem uma coisa chamada VRT.
Que é como se fosse a classificação própria deles.
Então assim, o SQL Injection ele já está predefinido como P1 que é a vulnerabilidadecrítica ali a que é tipo P1 é crítico, P2 é alto, P3 médio, P4 baixo e P5 é informacional,
(20:28):
Então assim, se eu mando SQL Injection ao invés de fazer o cálculo do CVSS na Bug Crowdereu vou lá e seleciono SQL Injection, ele já vai ficar como P1 que é o crítico.
Uhum.
Então eles partem do pressuposto de que toda a Skeletal Ejection já é crítica.
Aí assim, depois desse processo de triagem e tudo mais, pode ser que eles vão lá e mudempra alto.
(20:51):
Depois desse primeiro passo ali, podem só ir lá, a própria plataforma, e mudar esse statusde crítico pra alto ou pra qualquer que seja outro status.
Como eu é complicado não...
Não tem...
(21:11):
É...
Você manda e deixa lá.
Não liga não.
Esquece, manda e esquece.
Isso é foda porque olhando do ponto de vista de AppSec agora, para a galera que estáouvindo a gente, ele lidou com muitas ferramentas no dia a Você roda um SAST, roda DAST,
roda o caralho que for lá.
(21:32):
E ele te reporta, o SAST trouxe aqui crítico, não, SQL Injection.
Aí de novo, você vai lá e fala, cara, o scan de forma cru ali, ele falou que é crítico.
Mas de novo, é uma base que...
ela é relevante, uma base transacional, ou de repente é até uma aplicação que estáinterna, não está exposta para a internet, por exemplo.
(21:54):
Então você vai lá e muda a classificação.
Isso é natural.
O próprio CVSS vai ter ali uma classificação que vai definir a criticidade, mas o impactodele negócio, no fim das contas, ele tem meio que essa...
Eu não vou dizer arbitrariedade, porque você tem uma verdade por trás de tudo isso, mas...
Ele acaba ficando, acaba tendo um critério a mais ali.
(22:16):
O que é difícil, como você falou, é difícil para o pesquisador definir esse critério,assim como para as plataformas, O grande problema aqui seja talvez a ética, né?
Que a empresa fala, não, realmente é problema, realmente é problema crítico, eu não estousó querendo me beneficiar, o cara achou problema para mim, mas ainda vou pagar menos para
ele.
Não, beleza, é problema crítico mesmo, reconheço e vou fazer o pagamento.
(22:36):
Acho que tem uma questão ética aqui que fica difícil, porque eu olho para as plataformascomo mediador, E fica bem difícil deles resolver esse problema.
Até pra gente ir pro próximo tema, há bom tempo atrás eu tive uma startup chamada TouchPizza, que era na época que tinha o iFood, Hello Food, monte de aplicativo de comida, E o
Touch Pizza tinha vários problemas offline, tipo, o cara pedia a pizza pelo aplicativo, aítava demorando a pizza do cara, o que ele fazia?
(23:01):
Ele ia lá na Apple Store e classificava o aplicativo como nota baixa.
Eu tenho a ver com o motoboy entregando a pizza na pizzaria da puta que pariu.
Só intermedia o pedido.
É mesma coisa você ligar, o cara fez o pedido pro telefone.
Aí você liga lá na telefônica, na Vivo, na Claro, fala, meu pedido tá demorando.
Não tem sentido, você foi só o campo ali.
Então, esse mediador acaba tendo papel ingrato ali no meio.
(23:24):
Não é culpa do cara, né?
Então, ele não tem muito o que fazer.
O que a gente fazia depois era conversar com as pizzarias, o tempo de entrega, o tempopode melhorar, aquela coisa toda.
na hora ali não tem muito o que fazer.
É boa.
Mano, próxima pergunta, aliás, antes da próxima pergunta, deixa eu rodar meus...
(23:47):
Os caras não cansaram da nossa voz.
O que você sente falta em programas de bang-bond geral?
Depois desse tempo todo aí trabalhando, além disso que a gente já falou, essa relação àsvezes não tão clara, não tão ágil.
O que você sente falta além disso?
O que poderia ser diferente, melhor?
(24:08):
Tanto por divisir as plataformas ou como da própria relação com a empresa.
Como é que você vê aí?
talvez uma triagem mais rápida mas talvez isso seja pedir demais
é deixa eu pensar essa parte da triagem rápida talvez seja o ponto mais importante é ter atransparência das empresas né ali tipo elas serem injustas realmente só trazendo caso
(24:44):
aproveitando que eu lembrei eu encontrei um aidor no programa aí
e eu conseguia mudar a foto de perfil de qualquer pessoa e a foto de capa era como sefosse uma mini rede social da empresa.
assim, primeiro eu encontrei uma vulnerabilidade que me permitiu acesso a esse portal,então assim, esse portal era só para empresas, as parceiras deles, então eu consegui
(25:14):
encontrar um esquema que eu consegui me cadastrar nesse portal, aí eu mandei os caras quecolocaram que era P5, que era Low.
E
Aí não, beleza, beleza.
Aí eu fiz logo a loja nessa plataforma e encontrei monte de vulnerabilidade.
Aí mandei lá e tudo.
(25:36):
Aí isso, eu mudar a foto de perfil e mudar a foto de capa, o cara falou que era médio.
Aí entra naquele ponto que você falou, tipo assim, tudo bem, você consegue mudar a fotopra qualquer coisa que você quiser.
mas pra gente não tem impacto.
era interno na empresa.
(25:57):
Não, não era interno não.
Era...
Era externo.
fosse só interno, eu concordaria com os caras.
Mas como você falou, você conseguiu cadastrar de fora, então de uma certa forma estápúblico.
Aí você bota a foto da giromba lá no perfil de alguém, está exposto publicamente, já era.
Aí o impacto é muito maior.
A reputação, cara, não tem como, né?
(26:18):
Então acho que se eles são essas questões aí da triagem rápida, a transparência dasempresas, ou melhor política das empresas também nos programas, tipo escopo mais
abrangente, porque às vezes a empresa ela restringe demais.
um prog, claro, também não sei da necessidade deles, né?
(26:38):
Mas assim, eu vejo que eles colocando escopo mais abrangente, eles conseguem, sei lá,tipo, ter mais noção do que tá vulnerável e tudo mais, acho que seria bom tanto pra eles,
principalmente pra nós, bug hunters aí, que ia conseguir mais grana aí.
(27:00):
Inclusive, o que a gente gravou no episódio 2, 3 episódios atrás, a gente falou exatamentesobre esse ponto.
Beyrut tocou muito bem nesse ponto de...
Preciso montar programa de AppSec, tá bom.
Entendi a necessidade.
A primeira coisa que eu preciso preocupar é exatamente com o meu processo de triagem.
Não só questão de confiar na plataforma, mas tá, como é que eu, recebo isso?
(27:20):
Vem ticket no meu Gira, vem canal especial separado pra isso?
Vai ter alguém olhando pra isso?
não se 24 por 7, não sei se faz sentido nesse sentido, mas até lá, até alguém olhando paraisso que vai de fato alguém de AppSec conectado com os times de desenvolvimento, porque às
vezes o cara de AppSec vai estar ali mais para validar a vulnerabilidade geral, mas elevai ter que falar com alguém de desenvolvimento, cara, tem problema aqui nesse sentido,
(27:42):
aquela coisa toda.
Então a gente falou muito nesse sentido de como é que eu estruturo esse processo internode ter programa de triagem efetivo para que essa relação...
seja importante porque no fim das contas o que eu quero como empresa?
Ficar pagando Bounty Infinito?
Não, eu quero estar mais seguro.
(28:03):
E o que o pesquisador quer?
Receber Bounty Infinito.
E para isso ele vai dedicar o tempo dele, aquela coisa toda.
Então é importante que para o meu programa ser atrativo eu crie uma reputação, se sou umaempresa que já tem reputação é cenário, mas se eu uma empresa nova que eu crie uma
reputação no mercado de que eu tenho relação boa com os pesquisadores, de que...
(28:24):
Eu garanto que eu tenho processo aqui de triagem de ládio, X tempo, e o cara sabe que elevai mandar e dentro de 30 dias ele recebeu, ou o reporte foi cancelado, porque de fato
pode acontecer também, de fato não é problema, nem sempre é problema, porque gente entrounesse ponto agora e essa próxima pergunta.
O tanto de gente que também tem do outro lado agora como pesquisador, também, nãofraudando, mas jogando qualquer coisa, manda reporte, manda reporte, se passar, passa,
(28:51):
você sabe?
E aí acaba...
prejudica no fim das contas vai prejudicar esse processo de triagem que acaba alguém vaiter que dedicar tempo para ver aquilo consequentemente impacta os outros não sei se você
reportou bug mas pode demorou porque tem cara do outro lado tá fazendo a triagem de 800 dereporte que os caras mandaram e era 800 merda lá que cara tá mandando coisa avulsa né se
(29:14):
você depara muito com isso também galera mandando coisa um programa não sei se dá pra teressa visibilidade né programa
quantos reportes foram mandados, Mas tem isso?
Do seu lado você tem essa visibilidade?
Do meu lado não tenho visibilidade desse tipo, dessa questão de quantos reports foramenviados, quantos foram aceitos.
As plataformas até tem algumas delas, só que não são todas.
(29:40):
Sobre essa questão que você falou, a Hacker On, ela meio que tem um esquema de pontuação,que por exemplo, você precisa de x pontos para poder enviar reports.
Então, exemplo, se você mandar muito lixo, você vai ficar com a pontuação negativa.
Eles vão meio que tirando pontos seus.
(30:01):
Você vai ficar com a pontuação negativa.
E com essa pontuação negativa, você não consegue enviar novos reportes.
Você tem que esperar tempo lá, não sei quantos dias, pra você poder enviar reporte novo.
Essa é uma forma que eles encontraram de...
de limitar ali esse pessoal que fica mandando lixo e tudo mais.
Na Bug Crowd eu não sei se tem alguma coisa desse tipo.
(30:23):
Na bug crawler eles tem esquema de tirar pontos também, então você mandou alguma coisa láque estava fora do escopo, que eles entenderam que você só fez eles perderem tempo, aí
eles vão lá e tiram um ponto seu.
E na hacker on tem essa questão que eu falei da...
(30:44):
bloqueio temporário de...
relacionado ao lixo que você enviou eles tirarem da sua pontuação e você não consegueenviar novos reportes.
E pra ter o cadastro na plataforma como pesquisador, você consegue fazer cadastro, não voudizer anônimo, mas você tem ter uma certa validação de identidade, porque se não, ficar
lá, galera vai ficar lá, a galera a a a a a a galera vai ficar
(31:10):
É, não tem validação não, pelo menos quando eu criei não tinha validação, você só cria lá,bota o seu email, ou que eles querem, lá.
É, coloca o seu email, cria conta e já era.
A única coisa que associa você ali, se for parar pra pensar, é o email e os seus dados depagamento, que você tem que fazer o cadastro lá e tudo mais.
(31:32):
Mas de resto, acho que não...
que não tem não alguma coisa que possa ter que ficar.
Eu acho que tem uma plataforma, se não me engano, é o YesWeReq que ela pede pra você o opassaporte.
Eles tem que ir ao ICI e pedir o passaporte pra pra validar.
Se você não tiver essa validação, você não consegue receber nenhuma recompensa nem enviarnovos reportes.
(31:57):
Boa.
Acho que essa questão ajuda a filtrar pelo menos pouco, questão da pontuação, a filtrarpouco do lado da empresa.
Outra pergunta é, com relação aos pagamentos, como é que a questão de imposto sobre isso?
Porque imagino que você não tenha que ter uma empresa emitir nota.
Você bota lá a tua conta bancária, paypal da vida e recebe.
(32:19):
Imagino.
É assim?
Tem alguma questão, algum problema com isso?
Ou você nunca parou pra se preocupar?
Você já tá milionário?
Se você tem pagar meu imposto, paga mesmo, tem problema.
É...
não...
não...
eu...
o que tem a ver assim...
Eu tinha papai, eu um...
Também tinha, minha vida.
(32:39):
Galera que está escutando deve ser com podcast.
Façam filhos!
Para com essa cabeça de...
Essa geração nova aí que não quer saber de pai de pet, pai de planta, não.
Pai de gente.
Façam filhos que no meio da gravação vocês vão ter eu te amo, você não tem coisa melhor.
(33:02):
A minha...
Pegando gancho nisso daí...
e
minha de vez quando, se ela tá casa eu evito gravar ou fazer coisa online, porque eu seique ela vai vir no quarto aqui.
Mas é barato porque normalmente ela vem...
Normalmente a minha vem, quer que eu abra o Paint pra ela ficar desenhando no Paint aqui.
Tem três anos, uma alemã sabe rabiscar, Mas enfim, ela gosta de brincar.
(33:25):
A pergunta foi com relação a imposto, mano.
Como é que funciona os pagamentos?
Paga imposto sobre isso?
Como é que essa dinâmica aí?
Ah, tem só uma taxinha ali, que se você usa PayPal tem uma taxinha do PayPal, essa liga é6%, 3 % é coisa assim.
E com esse dinheiro ele vem de fora.
E assim, só contextualizando, eu hoje atuo como PJ aqui no Brasil.
(33:50):
Então assim, eu só atuo como PJ, não atuo como CLT.
Então assim, meus valores do trabalho oficial assim, eu recebo ali no PJ.
Uhum.
do do boi bão que eu recebo como pessoa física então eu faço duas declarações e assimsobre esse valor do boi bão não pago nada mais eu potei uma eu tenho uma pago assessoria
(34:17):
contável aqui e os caras eles fazem essa declaração para mim aí eu até perguntei não tenhonada para pagar e tal ele falou não
tá tranquilo, você já declarou aqui, beleza, então assim a única coisa que eu pague é ataxa do PayPal não pago nada mais não eu uso o PayPal né, pra receber
(34:37):
Porque no fim das contas vai cair na tua conta BR.
falar assim.
aí o que pode acontecer é a Receita Federal, cara, uma coisa é você receber, sei lá, 100mil no ano reais, outra coisa é 1 milhão no ano.
Então, algum momento isso pode virar um...
Os caras falam que cai na malha fina, não só você, mas todos os pesquisadores que a táfalando, Essa dinâmica pode ser taxada, cara não está vendendo tanto dinheiro, aquela
(35:02):
coisa toda que a gente sabe como funciona aí a questão do...
Mas é uma dinâmica, como você falou, bem tranquila.
Boa.
Eu queria agora que você fizesse alguma pergunta para mim, de o que você acha, o que vocêacha que tinha que explicar de Bug Bounce, qual a minha visão de programa de Bug Bounce.
Não sei, vamos fazer uma troca.
(35:25):
Acho que a ideia de gente ter puxado esse papo era justamente da ideia de fazer uma threadno Twitter explicando o programa de Bug Bounce.
Eu sei que eu tinha algumas perguntas mente, mas o que você acha que...
que a gente pode falar, que tá faltando.
Fala pra galera, vem pro Bug Bounce que é sucesso, ou não vem não, porque tem muitacompetição.
Não, pode vir, pode vir, tem...
(35:45):
Aí o coração de mãe sempre cabe mais um.
Aquele ranking lá do...
Não lembro qual ranking que era, mas tava você primeiro, sushi segundo.
Grande sushi com abacate que gravou com a gente aqui também, temporada 5, se eu não meengano.
A produção não tá aqui hoje pra pegar exatamente, mas queremos você aqui de novo.
Deixa eu ver aqui uma pergunta.
(36:11):
Silêncio ensurdecedor.
se...
sei lá, se tu fosse abrir programa de Bug Bounty hoje, o que você...
o que você incluiria no escopo e o que você deixaria de fora?
Boa.
Olhando para a empresa que eu trabalho hoje, é empresa financeira, E a gente tem, acho queé 90 % de aplicação crítica, 10 % de aplicação não crítica.
(36:36):
Então, olhando para o escopo hoje, eu talvez pegaria as mais críticas.
Porque é aquela história, né?
Tudo é crítico, nada é crítico.
a gente, por exemplo, a gente tem serviço de octa de autenticação que praticamente todasas aplicações usam.
Então, isso obviamente tinha que estar no escopo porque todo mundo vai passar por lá.
Enquanto que aplicações, por exemplo, de pagamentos que a gente tem, de investimento,questão de ações, olhando para o meu business, eu acho que isso definiria muito bem o
(37:03):
escopo do cara.
Isso aqui é dinheiro direto, cliente, dados sensíveis, aquela parada.
Então isso aqui tem que estar no escopo.
Mas eu tiraria, por exemplo, coisas hoje que não que são back office, mas por exemplo,aplicações que eu tenho que é...
site institucional, ainda que está num domínio principal, é site institucional, é umnewsletter que o cara cadastra, Umas coisas que podem ter problema, talvez pra esse
(37:32):
primeiro momento que a gente não tem uma maturidade muito grande, Epsec, não tão grandeque eu digo também não é zero, mas tem uma maturidade, afinal é a segunda, terceira maior
empresa financeira do mundo, eu colocarei no escopo aplicações muito críticas.
e especialmente coisas de autenticação, coisas que eu sei que são compartilhadas, mas eudeixarei de fora aplicações não tão críticas e essas que eu sei que não estão relevantes
(37:58):
para esse primeiro momento.
Mas uma das coisas que a gente está inclusive definindo é quem são as pessoas internas quevão estar ali olhando o Gira, por exemplo.
Olha, chegou report aqui do programa.
Precisa olhar hoje, precisa olhar...
tipo, urgente, como se fosse, literalmente, incidente, Tratar como se fosse incidente.
(38:20):
Não pelo time de resposta incidente, obviamente, porque tem um, né, que ali controlado,não é um ataque, mas isso chega direto pro time de AppSec.
A gente tá inclusive vendo quem são as pessoas, mas chega direto no cara de AppSec, nonome mesmo, por exemplo, vai chegar mim direto e eu já tenho conexão com os times de
desenvolvimento das aplicações que estão no meu escopo, porque a gente não...
(38:42):
é exatamente isso que a gente não quer.
Puts, cara mandou, demorei três meses para responder.
Não, cara mandou, no dia seguinte eu quero estar respondendo.
Cara, realmente tem problema aqui, me ajuda a identificar melhor, vamos corrigir, derepente subir pé, o que quer que seja, mas já para fazer essa relação acontecer, enfim.
Porque a ideia é, eu quero ter mais pesquisadores achando mais problemas para que eucorrija mais rápido.
(39:04):
Essa é a dinâmica.
Ferramenta de scan já tem, que acha minutos diversos problemas.
Então eu quero os problemas reais mesmo que vão me ajudar a ganhar essa escala.
que é isso que a gente está olhando aqui e é isso que eu faria.
E uma das coisas que a está tentando analisar também é qual plataforma.
A gente vai usar uma plataforma que já é muito claro para a gente.
(39:25):
Não dá para fazer sem no nosso nível de maturidade.
Então qual plataforma a gente vai usar?
É Bug Crowd?
É Hacker One?
Provavelmente é Hacker One, mas é feeling só, não sabe.
Na questão de preço, de valores.
Quando for abrir o programa me convida lá.
Fica de olho já, é empresa que eu trabalho chama StoneX, pedra X.
(39:48):
Daqui a pouco tem o programinha aberto aí.
Mas se achar não fica postando aí não que ganhou mil dólares, porque aí vão falar que nãoestá resolvendo os problemas dos caras da pagaria.
Não, estou brincando, pode postar.
Porque aqui a gente tem um time de AppSec, eu estou há ano na empresa, a está elevando amaturidade, a gente tinha uma maturidade de sei
(40:10):
de 0 a 10 era 2, eu diria que hoje está 3, mas a ideia é, obviamente, sempre evoluindo etal, deve implementar tudo que a tem na cabeça, seria diferente, mas enfim, gente depende
de bugs e tal.
Mas uma das coisas que o nosso SISO tem mente é, por exemplo, complementar ou até trocarum programa que gente tem contínuo de pen test por bug bounty.
(40:34):
Então é uma discussão, faz sentido isso, não faz sentido, né?
do lado da...
da empresa já custa uma grana fazer penteste anual.
Então faz sentido eu trocar essa grana e pagar para Bounce, por exemplo, ou usar os dois,enfim.
Então é uma discussão que está tendo aqui para ver o que faz mais sentido para a empresa.
Eu por mim manteria os dois porque são coisas completamente diferentes.
(40:55):
Mas enfim, Porque, por exemplo, do ponto de vista compliance, a empresa não fala, eu tenhoprograma de bug Bounce, ela tem que falar, tá aqui report de penteste.
Então trocar as duas, trocar pelo outro é muito difícil, Eu acho que os dois vão se...
se complementar.
O que você acha disso aí?
Eu realmente acho que os dois se complementam, até porque o Pentash ali querendo ou não émais abrangente, Você consegue ter uma visão melhor ali de coisas menores que as pessoas
(41:28):
não enviam no Bug Bunting, então por exemplo...
é tem alguma tem sei lá ó não que isso não seja importante ou que seja também a cabeça desegurança é uma coisa que ninguém nunca vai reportar em e assim por mais que não seja tão
importante é uma camada mais segurança ali que é colocado na aplicação e isso não podereportar bug bão e é assim lá ataque de brute force
(41:58):
Hate Limit, por exemplo, tem empresa que não aceita essas explorações que envolvem HateLimit, Brute Force e no PaintTest meu que não tem essa limitação, você pode mandar e
dependendo do cenário, isso é até importante, Porque por exemplo...
(42:20):
é...
sei lá, tem uma API que tá vulnerável lá e tu consegue varrer o end point lá puxando montede informação e não tem hate limit no negócio, se tivesse você conseguiria sei lá só 10
por conta do hate limit, mas aí não tem que você conseguir o milhão então eu acho queesses processos assim eles tem que andar juntos, conversam bem né, o paint test e o
(42:47):
programa de blackbount ali
eles estão ali de mãos juntinhas
Eu acho que...
Voltando à sua pergunta pra mim, O que eu colocaria no meu escou, por exemplo?
Eu não colocaria essas limitações.
Por simples motivo.
O cara que vai te atacar de verdade, ele não tem limite nenhuma.
(43:08):
Ele não tem ética, eu não sei que caceta que as empresas pensam.
Não, olha, pra você participar do meu programa de bugbaunt, você tem que usar umafantasia, cosplay, você tem que estar no IPX, vai pra casa da caceta porque o cara vai te
atacar da Rússia.
da China, da puta que eu pariu, sem escrúpulo ética limite nenhum.
(43:28):
Então a ideia é que o teu programa literalmente traga ou esteja mais próximo do realpossível.
O skill do pesquisador, o skill do hacker, o que é que você...
O skill é o mesmo, né?
Talvez, obviamente, pouco mais ou menos, mas os skills do cara do outro lado é o mesmo.
A diferença é, um, você vai pagar pra ele porque ele tá te ajudando a resolver o problema.
O outro, ele vai te causar impacto muito grande, vai custar muito mais.
(43:51):
do que muitas vezes o teu pen test ou o teu pão.
Então, essas limitações, eu entendo que talvez tenham diversos motivos.
Claramente eu não consigo ver do ponto de vista de, eu quero ir no médico fazer exames eachar problemas.
Eu não quero ir no médico e ei, está tudo bem, vai pra casa.
Senão eu não ia, eu fico casa.
(44:12):
Tá ligado?
É meio loucura essas limitações.
O que mais, mano?
O que mais você quer acrescentar aí?
Quer trazer pra galera?
O que você acha que faz sentido?
pra gente encaminhar pro final.
Hum, deixa eu pensar aqui...
de Bug Bounty no Brasil?
Não, não dá não.
Pelo menos eu assim, eu não me imagino vivendo Bugbao, não te imagina?
(44:34):
Os casos que eu falei que você reporta e aí passa três meses pra você receber.
Aí você faz o que?
Nesses três meses você vai ficar chupando o dedo ali e sorrindo?
Aí não dá, né?
Porque tem gente que fala que nem você falou, ah, eu participei de programa de 23 mildólares só esse ano.
pô, sei lá, 23 mil dólares vezes 5 dá 10 mil.
(44:59):
10 mil não, 100 mil.
Pô, legal, divide isso por 12 e tal.
Beleza, mas os três meses que você não recebeu aquilo ainda, as contas estão para pagar acomida, estão para comer.
A pequena está aí gritando com as fraldas e com a comida não funciona assim, né?
coisa é...
Então é complicado, não sei.
Eu nunca me imaginei vivendo Bug Bounty, a minha meta sempre foi ali trabalhar na área si,ter Bug Bounty só como hobby mesmo.
(45:30):
Eu tenho um conhecido que mora aqui na Polônia também, ele é brasileiro.
Inclusive, um dos fundadores da área 31, que é o Hacker Space lá de PH.
Ele tem todo um framework dele que ele desenvolveu para fazer um pen test geral, mas parafazer pen test automatizado.
(45:51):
Então, lá, você bota o domínio e roda a parada que ele fez lá.
Vai ter uma série de vulnerabilidades que vai vir ali, uma série de filtruzinhos, tal,porque...
do output daquela ferramenta que ele criou é os que ele vai dar atenção, deixa eu fazertrabalho pouco mais manual aqui, mas ele já desenvolveu essa automação do que cada bug,
bug, cada novo teste que vai fazer começa do zero, faz reconhecimento, domínio, sei lá oque, não cara, já tem aqui uma série de coisas pré preparadas que é meio que comum para
(46:19):
qualquer teste payloads maliciosos, enfim, coisas do tipo, autenticação, enfim.
que dispara ali, beleza, o que passou aqui eu já vou dar uma filtrada.
O que não veio, obviamente, eu nem deveria dar atenção porque dos pontos críticos, assimque você falou, é o tempo.
Quanto mais rápido você achar o Bounty, melhor.
Porque tem isso também, tem os famosos duplicados.
Como é essa questão dos duplicados?
(46:39):
Expliquei pra galera.
O duplicado é quando alguém mandou antes de você e aí você fica chupando dele lá e não temo que fazer também.
O bom é que pelo menos na bugcrowd ela mostra uma prévia do programa que você tomouduplicado.
(47:00):
Então vamos supor, você mandou uma vulnerabilidade ontem eu mandei uma hoje.
aí não vai aparecer, o Cássio enviou a vulnerabilidade e tal, mas tipo vai estar lá otítulo da vulnerabilidade e a data que ela foi enviada, o escopo afetado e coisa e tal.
Então assim, Aí tem pra ser quando eles dão o duplicado eles já linkam o teu reporte aoprimeiro reporte que foi enviado.
(47:28):
Então meio que...
Na Bugcrowd pelo menos eles fazem isso.
Na Hackeron eles linkam também o report só que aí tem casos que você não consegue verporque eles falam que tem informação sensível e não sei o que.
Assim eu acho legal essa abordagem da Bugcrowd porque você consegue ser tipo é mais clarocom o pesquisador.
(47:55):
o canal ele lá e fala não beleza esses caras aqui eles deram duplicado no que tá certoporque você pode só confrontar eles também a se o cara deu duplicado errado e para ser
mandou no domínio google.com aí eu mandei no gmail.com então não é duplicado porque osdomínios são são diferentes então posso só chegar lá e dizer ó tá errado aqui aí eles vão
(48:16):
reabrir o reporte
E tudo isso está esperando o papai receber, tem todo...
é trabalho de...
Tudo isso é dentro do trabalho de triagem, né?
Que é o mais crítico que gente acabou de falar.
E as contas chegando.
e as contas chegando, boleto pingando que não para.
Caramba, cara, que jornada.
Então, Bug Bounce, de fato, é uma jornada que dos dois lados, é uma relação, literalmente,entre a empresa, pesquisador e a plataforma que está ali mediano.
(48:44):
E é importante que tudo isso seja bem estruturado, ponto de vista não só da empresa quequer criar programa de Bug Bounce, como a falou no episódio 1, 2, 3, episódios anteriores
e pouco agora.
E como que é essa percepção tua do lado do pesquisador,
o que fazer, como é essa interação.
E vale um detalhe também, Eu vou acrescentar aqui, me corrija se eu estiver errado.
(49:06):
Tudo isso está acontecendo em inglês.
Porque a galera do Brasil, às vezes, acha que o mundo gira torno do Brasil e é ocontrário, né?
A gente precisa aprender inglês porque praticamente tudo isso acontece em inglês.
E aí, última pergunta pra gente encerrar.
Tem muita empresa brasileira participando de programa, expondo o programa About, você sóparticipa de empresas de fora?
(49:27):
Como é que isso aí também?
É, tem muita empresa, só que assim, comparado a empresa gringa não tem comparação, né?
Tem inclusive a plataforma de bug bound brasileira, algumas plataformas, né?
Tem a Bug Hunt, tem a Hunters Pay e tem a Bug Pay, são três plataformas brasileiras que eusei da existência, assim.
(49:53):
Então assim, a Bug Hunt ela...
Ela tem diversos programas brasileiros, o foco dela acho que é mais programa brasileiroassim, acredito que deva ter algum programa gringo.
A Hunters Pay também tem programas só brasileiros.
E a Bug Pay também tem programas só brasileiros, são plataformas brasileiras então, queimagino que o foco dele seja aqui no Brasil, nas plataformas gringas.
(50:16):
Tem sim alguns programas BR, mas não são tantos.
Mas assim, pelo menos tem empresas gigantescas, como por exemplo a Nubank, que eu tô notop 1 lá ainda.
Tem o Banco Inter na Hackeron.
Tem a...
(50:37):
Ah, tem várias, porque eu não vou lembrar de bate pronta assim, mas tem várias.
E tem muitos que eu sei que tem programa, você vai no site dos caras, lá, reporte aquibug, tem programa, eles meio que fazem direto sem participar de uma plataforma.
Não, assim, essa questão de reportar bug lá no site deles fica bem implícito, né?
Porque...
(50:57):
É, não...
É, você fica assim, você vai reportar bug ou você vai reportar uma falha de segurança?
Porque a coisa é que você reporta lá...
O botão não tá funcionando.
Outra coisa é, eu cliquei no botão e transferi R para uma conta que não é minha.
Então...
Tem essa diferenciação, assim.
(51:20):
Inclusive, dos pontos que a gente está tentando fazer aqui é deixar isso transparente nopróprio site da empresa, porque às vezes o cara achou uma falha, a gente já recebe falhas,
porque gente não tem programa hoje, mas gente já recebe.
Então colocar bem claro um TXT no domínio, exemplo, cara, ó, tá aqui onde você reporta,política, e-mail, contato das pessoas, pra deixar isso claro do que a gente tá preocupado,
(51:40):
a gente quer fazer o famoso reporte responsável, que a galera chama, Porque tem esse lado.
De novo, quando o cara vai te atacar, ele vai te atacar e foda-se.
Mas criar essa imagem e, literalmente, uma relação de que a empresa está preocupada comisso, que o pesquisador tem lugar seguro para reportar, para entrar contato com a gente,
porque é tudo sobre relação, né, mano?
(52:03):
A empresa quer ser transparente e o cara quer reportar e ser pago, reportar de uma formasegura e ser pago.
No fim das contas, é só isso.
Então, para que dificultar isso?
A ideia é facilitar isso.
Falando nisso, me lembrou ponto só pra finalizar.
A Mastercard tem uma exigência na política bem esquisita que é você mandar o seu IP ecolocar o cabeçalho lá em todas as requistas que você vai enviar.
(52:35):
E se você não fizer isso, eles dão uma bate de 30 % no valor do Bounty.
Então se você vai receber lá mil dólares eles tiram 300 dólares lá porque você não mandouseu IP para os caras no report.
É?
Oxe...
É, seu hacker, quando você for me invadir aqui, você me invade com o mesmo IP pra ficarmais fácil minha forense, tá?
(52:59):
Puta que pari...
Bate naquele ponto lá que você falou.
Bom, vai entender, né?
Beleza, mano, vamos deixar pra próxima.
Tem muita coisa pra falar, mas acho que já tem norte bem importante.
O que é programa de Bug Bounce?
A galera já sabe o que é.
Como, enfim, participar, descansar.
(53:20):
Você falou de plataformas brasileiras aí.
Se tiver alguém ouvindo dessas plataformas, queremos vocês aqui.
Vem gravar com a gente, vem bater papo com a gente, Até patrocinar também, problema zero.
Estamos aqui aceitando qualquer sugestão.
Mano, mais uma vez, obrigado.
Esse episódio foi um parto para a conseguir a agenda, mas deu certo.
Sentamos aqui, deu certo para a gente gravar.
(53:41):
Alguma mensagem final, algum oi, algum abraço para alguém.
Para a pequena que estava falando, eu te amo, papai.
Abraço para a família e para a galera que está assistindo Busca Conhecimento.
É isso aí.
no Twitter, parem de ficar arrumando treta, né?
assistir.
(54:04):
Ai, cara, dou risada.
Não para.
Não, esse cara não para, esse cara só quer tretar e trabalhar nada, velho.
Eu dou risada, é muito bom.
Pessoal da bolha deve que tiver vindo nesse episódio, vem aqui participar.
Eu estou tentando arrancar alguém de lá para falar.
vez de ficar tretando no Twitter, vem tretar aqui.
Pelo menos aqui a gente agrega alguma coisa.
Faz o cara aprender sobre segurança, enfim.
(54:25):
Mas está bom, está bom.
gente espera.
Mano, obrigado mais uma vez.
Pessoal, esse foi mais episódio de DevCecox Podcast, o segundo da sétima temporada.
Sejam muito bem-vindos mais uma vez e com certeza a gente se vê na semana que vem.
Valeu!
Valeu!
(54:49):
E aí
Aê!
Popular Podcasts
Stuff You Should Know
If you've ever wanted to know about champagne, satanism, the Stonewall Uprising, chaos theory, LSD, El Nino, true crime and Rosa Parks, then look no further. Josh and Chuck have you covered.
Dateline NBC
Current and classic episodes, featuring compelling true-crime mysteries, powerful documentaries and in-depth investigations. Follow now to get the latest episodes of Dateline NBC completely free, or subscribe to Dateline Premium for ad-free listening and exclusive bonus content: DatelinePremium.com
The Burden
The Burden is a documentary series that takes listeners into the hidden places where justice is done (and undone). It dives deep into the lives of heroes and villains. And it focuses a spotlight on those who triumph even when the odds are against them. Season 5 - The Burden: Death & Deceit in Alliance On April Fools Day 1999, 26-year-old Yvonne Layne was found murdered in her Alliance, Ohio home. David Thorne, her ex-boyfriend and father of one of her children, was instantly a suspect. Another young man admitted to the murder, and David breathed a sigh of relief, until the confessed murderer fingered David; “He paid me to do it.” David was sentenced to life without parole. Two decades later, Pulitzer winner and podcast host, Maggie Freleng (Bone Valley Season 3: Graves County, Wrongful Conviction, Suave) launched a “live” investigation into David's conviction alongside Jason Baldwin (himself wrongfully convicted as a member of the West Memphis Three). Maggie had come to believe that the entire investigation of David was botched by the tiny local police department, or worse, covered up the real killer. Was Maggie correct? Was David’s claim of innocence credible? In Death and Deceit in Alliance, Maggie recounts the case that launched her career, and ultimately, “broke” her.” The results will shock the listener and reduce Maggie to tears and self-doubt. This is not your typical wrongful conviction story. In fact, it turns the genre on its head. It asks the question: What if our champions are foolish? Season 4 - The Burden: Get the Money and Run “Trying to murder my father, this was the thing that put me on the path.” That’s Joe Loya and that path was bank robbery. Bank, bank, bank, bank, bank. In season 4 of The Burden: Get the Money and Run, we hear from Joe who was once the most prolific bank robber in Southern California, and beyond. He used disguises, body doubles, proxies. He leaped over counters, grabbed the money and ran. Even as the FBI was closing in. It was a showdown between a daring bank robber, and a patient FBI agent. Joe was no ordinary bank robber. He was bright, articulate, charismatic, and driven by a dark rage that he summoned up at will. In seven episodes, Joe tells all: the what, the how… and the why. Including why he tried to murder his father. Season 3 - The Burden: Avenger Miriam Lewin is one of Argentina’s leading journalists today. At 19 years old, she was kidnapped off the streets of Buenos Aires for her political activism and thrown into a concentration camp. Thousands of her fellow inmates were executed, tossed alive from a cargo plane into the ocean. Miriam, along with a handful of others, will survive the camp. Then as a journalist, she will wage a decades long campaign to bring her tormentors to justice. Avenger is about one woman’s triumphant battle against unbelievable odds to survive torture, claim justice for the crimes done against her and others like her, and change the future of her country. Season 2 - The Burden: Empire on Blood Empire on Blood is set in the Bronx, NY, in the early 90s, when two young drug dealers ruled an intersection known as “The Corner on Blood.” The boss, Calvin Buari, lived large. He and a protege swore they would build an empire on blood. Then the relationship frayed and the protege accused Calvin of a double homicide which he claimed he didn’t do. But did he? Award-winning journalist Steve Fishman spent seven years to answer that question. This is the story of one man’s last chance to overturn his life sentence. He may prevail, but someone’s gotta pay. The Burden: Empire on Blood is the director’s cut of the true crime classic which reached #1 on the charts when it was first released half a dozen years ago. Season 1 - The Burden In the 1990s, Detective Louis N. Scarcella was legendary. In a city overrun by violent crime, he cracked the toughest cases and put away the worst criminals. “The Hulk” was his nickname. Then the story changed. Scarcella ran into a group of convicted murderers who all say they are innocent. They turned themselves into jailhouse-lawyers and in prison founded a lway firm. When they realized Scarcella helped put many of them away, they set their sights on taking him down. And with the help of a NY Times reporter they have a chance. For years, Scarcella insisted he did nothing wrong. But that’s all he’d say. Until we tracked Scarcella to a sauna in a Russian bathhouse, where he started to talk..and talk and talk. “The guilty have gone free,” he whispered. And then agreed to take us into the belly of the beast. Welcome to The Burden.