O truque da OLX para melhorar a segurança dos usuários

Todos os dias, cerca de 500.000 novos anúncios de produtos são publicados no site da OLX , empresa de tecnologia com uma das plataformas de vendas online que mais cresce no país. Ao todo, o site recebe 33 milhões de usuários por mês. Garantir a segurança dos consumidores não é tarefa fácil, como para qualquer grande empresa no mundo digital, e exige ideias fora da caixa.

Foi assim que a gigante do e-commerce encontrou a solução na BugHunt,primeira plataforma brasileira de Bug Bounty, um programa que recompensa o "hacker do bem" por identificar falhas em sites, contribuindo para o aumento de segurança e estabilidade do sistema de um negócio.

• O mundo segue mudando. Siga em evolução com a EXAME Academy

Na BugHunt, as empresas podem escolher entre o programa público, que fica aberto para qualquer hacker cadastrado na plataforma, ou o privado, disponível somente para um grupo seleto de especialistas (como são chamados na BugHunt) certificados. Hoje, a empresa tem 3.100 especialistas cadastrados, sendo por volta de 200 verificados.

Segundo a Fortinet, empresa especializada em cibersegurança, 2020 registrou uma alta no número de ataques cibernéticos em todo o mundo. Só no Brasil foram mais de 3 bilhões de tentativas de ataques virtuais.

A OLX já trabalhava com programas americanos de Bug Bounty desde 2017. A falta de familiaridade com o Brasil fez com que a empresa recebesse muitos relatórios com falso positivo. “Eles recebiam nome de rua, por exemplo, em vez do nome de alguém”, diz Caio Telles, presidente da BugHunt.

“O que a gente também percebeu é que boa parte dos pesquisadores que estavam nos reportando eram de origem brasileira”, diz Raúl Rentería, CTO da OLX Brasil. Assim, a empresa decidiu ir atrás de uma alternativa totalmente do Brasil. “Com este foco, conseguimos ter relatórios mais assertivos."

Desde o início da parceria em julho de 2020, 142 especialistas trabalham no programa privado da OLX. As vulnerabilidades reportadas vão desde problemas de interface até vazamento de dados do usuário através dos anúncios publicados na plataforma.

A empresa já recebeu mais de 40 relatórios e todos os hackers são recompensados pelo seu trabalho — o bug mais crítico pode chegar a uma recompensa de 10 mil reais.De acordo com Rentería, alguns inclusive pediram para não serem pagos, porque sempre utilizaram a OLX de forma gratuita. Mesmo assim, eles ainda foram remunerados.

Devido a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro de 2020, bugs envolvendo dados de usuários podem acabar gerando multas para as plataformas. “Quando surgiu a LGPD, acabou abrindo uma vertente de ataques para os especialistas”, conta Caio Telles. “Tudo que infringe ela acabou se tornando uma falha para ser reportada”.

O plano da OLX para continuar aprimorando a segurança dos usuários, de acordo com Rentería, é triplicar o investimento na BugHunt.“Nós vimos um ganho muito claro em pegar alguém de fora que vai pensar como um hacker. Isso torna seu produto mais resiliente”, diz Rentería. “Só enxergamos benefícios em potencializar os especialistas brasileiros através da BugHunt."