Recentemente, denúncias surgiram contra o programa de Bug Bounty do Nubank, alegando que a iniciativa pode estar sendo utilizada de maneira antiética. De acordo com os relatos, pesquisadores de segurança, conhecidos como “hunters” ou caçadores de bugs por recomensa, estariam enfrentando dificuldades ao reportar vulnerabilidades na plataforma de Bug Bounty utilizada pelo banco.
De acordo com as denúncias, quando um hunter encontra uma falha e a reporta à equipe de segurança do Nubank por meio da plataforma oficial de Bug Bounty, os relatórios estariam sendo recusados sob a justificativa de que a vulnerabilidade já havia sido previamente reportada. No entanto, a acusação mais grave sugere que membros internos da equipe de segurança ofensiva do banco estariam se apropriando dessas descobertas e reportando-as posteriormente para ganho próprio e aumento de sua reputação entre profissionais da área de cibersegurança.
A situação tem gerado grande desconfiança entre os pesquisadores independentes, levantando questões sobre a transparência e a integridade do programa. Como evidência dessa possível prática, as denúncias destacam que um dos principais ganhadores do programa de Bug Bounty do Nubank é, na verdade, um funcionário da área de segurança ofensiva da própria empresa. Isso gera desconforto e inseguraça sobre um possível conflito de interesse e um desequilíbrio nas oportunidades oferecidas pelo programa.
Tal prática pode comprometer seriamente a credibilidade das empresas perante a comunidade de pesquisadores de segurança. Programas de Bug Bounty são criados para fortalecer a segurança digital por meio da colaboração aberta com especialistas externos, e qualquer tentativa de manipular o processo pode afetar a confiança na iniciativa.
Leia também
Casos semelhantes têm sido relatados por outros profissionais, como evidenciado pelo relato de um profissional no Medium, que detalhou sua experiência negativa com programas de Bug Bounty fraudulentos. Ele descreve como empresas utilizam práticas enganosas para evitar pagar recompensas justas, rejeitando relatórios legítimos sob pretextos duvidosos ou permitindo que funcionários internos se apropriem dos achados de pesquisadores externos.
+Mais
Zoho corrige falha de segurança no ADSelfService Plus
Norte-coreanos avançam na lavagem de dinheiro após roubo bilionário da Bybit
ICO do Reino Unido investiga TikTok, Reddit e Imgur por proteção de dados infantis