As grandes recompensas, após o mega leak da Twitch, plataforma de streaming da Amazon, já estão aumentando de forma muito considerável. Ora, como resposta à violação de seu código-fonte na semana passada, a maior plataforma de streaming do mundo decidiu ir aumentando os pagamentos de recompensas por bugs de US$3.000 para US$5.000. Essa informação, apesar de não ter sido adiantada pela própria plataforma, já é do conhecimento de todos os órgãos de comunicação.
A soma – cada vez mais tentadora – foi anunciada para as pessoas que se registrarem na plataforma de recompensa de bugs do Twitch, fornecida pela empresa de “segurança cibernética de crowdsourced”, a Bugcrowd. Um e-mail, compartilhado entre a mídia, detalhou o aumento nos “pagamentos básicos” para os membros desse portal, na semana passada.
A missiva dizia que Twitch estava “expandindo nosso escopo para capturar envios adicionais”, acrescentando: “Estaremos trabalhando duro com nossa equipe de triagem Bugcrowd para garantir que envios legítimos sejam marcados como dentro do escopo.”
Conheça o valor das fortunas pagas pela Twitch por bugs
Com base em nossa busca, dentro do portal legítimo de recompensas de bugs, esses são os pagamentos que poderá esperar vindos da Twitch, de acordo com o nível de gravidade do bug que você detetou:
- P1: $3.000 -> $5.000
- P2: $1.800 -> $2.000
- P3: $300 -> $500
- P4: $100 -> $300
Tal como foi possível perceber, em termos médios, os pagamentos por bugs detetados quase que duplicaram. No entanto, a comunidade não demorou muito tempo a comentar de como esses prêmios são ainda bastante reduzidos. Eis o exemplo de uma dessas mensagens:
“Esse é um dos problemas gerais com essas recompensas – elas geralmente não correspondem à seriedade das vulnerabilidades que você encontra. Pessoalmente, considero as recompensas de bugs uma grande perda de tempo. Vou ficar de fora. “
Twitch está atravessando momento complicado
Para quem esteve mais distraído, na semana passada, a Twitch teve seu código-fonte e dados de pagamento do streamer de vídeo, entre outras coisas, vazados em um arquivo torrent de 128 GB. Gerando muita apreensão entre os streamers, que estavam conseguindo obter verdadeiras fortunas todos os meses.
Somando a isso, existiu o vazamento do que parecia ser a base de código inteira do Twitch, agora disponível para todos os seus rivais (e reguladores), para descobrirem como funcionam os algoritmos de classificação e promoção do site. Dadas as grandes somas aparentemente pagas aos principais distribuidores, isso também pode interessar às autoridades fiscais em todo o mundo.
Plataforma explica motivo para esse gigante leak
De fato, a Twitch atribuiu o vazamento a uma “mudança na configuração do servidor”, que foi detectada por um “terceiro malicioso”, enquanto insistia que “números completos de cartão de crédito” não foram expostos – deixando em aberto a possibilidade de que outros dados de cartão de crédito fossem revelados ao mundo.
Valor pago pelos bugs é reduzido?
Segundo nossa experiência, as recompensas para bugs são normalmente um pouco maiores do que algumas centenas ou milhares de libras. Por exemplo, um estudante de ciência da computação embolsou $50k do Shopify neste verão, depois de detectar algo muito semelhante ao vazamento do Twitch – um token de acesso que concede acesso de leitura/ gravação aos repositórios de código-fonte do Shopify.
Assim, embora as empresas de recompensas por ibugs façam um grande alarido sobre as quantias que podem ser pagas, na realidade os pagamentos de cinco dígitos são poucos e distantes entre si. Uma pesquisa de alguns anos atrás mostrou que, por exemplo, apenas 1 por cento do topo no HackerOne ganhava em média £26.500 por ano ($34.225 na época).