Um estudante de engenharia brasileiro foi recompensado em US$ 5 mil (cerca de R$ 25,1 mil na cotação atual) por descobrir uma falha no X (o antigo Twitter). A brecha foi mantida em sigilo e corrigida pela plataforma.
Autor da descoberta, Nícolas Marchetti é estudante de Engenharia de Telecomunicações do Instituto Nacional de Telecomunicações (Inatel), em Santa Rita do Sapucaí (MG). “Em apenas 3 dias explorando o escopo do X na HackerOne, encontrei uma vulnerabilidade de criticidade alta, com impacto direto na plataforma”, descreveu no LinkedIn.
smart_display
Nossos vídeos em destaque
Marchetti não pode compartilhar detalhes sobre a falha por razões de sigilo, mas revelou que a brecha envolve a parte financeira da rede social. “Eu basicamente utilizei uma ferramenta que ajuda o pesquisador a entender um pouquinho mais sobre como funciona o tráfego da rede até o usuário final e modifiquei alguns parâmetros para conseguir extrair uma vantagem financeira em cima do X”, disse ao g1.
A denúncia foi encaminhada por meio do HackerOne, plataforma internacional que conecta empresas a pesquisadores independentes de segurança. O X analisou o reporte, classificou a vulnerabilidade como de alta severidade e a corrigiu rapidamente.
Primeira recompensa do pesquisador, mas não a primeira descoberta
Segundo o estudante, essa foi sua primeira recompensa em um programa de bug bounty, mas não a primeira falha encontrada no X. Marchetti também recebeu US$ 100 (cerca de R$ 502) por uma segunda vulnerabilidade descoberta. Outros dois reportes foram classificados como duplicatas e, por isso, não geraram recompensa financeira.
As compensações por descoberta de bugs são abertas a pesquisadores do mundo inteiro, mas exigem conhecimento profundo em computação. No LinkedIn, Marchetti ressaltou que o bug bounty requer insistência, muitos testes e criatividade.
Fonte Tecmundo
