O serviço de transporte urbano Uber está liberando um mapa de seu computador e de seu sistema de comunicação, convidando hackers a encontrarem falhas do produto em troca de recompensas.
Enquanto os então chamados "bug bounties" (algo como "recompensa dos erros", em inglês) não são novos, a ação do Uber mostra como as principais companhias estão constantemente confiando em investigadores independentes para ajudá-las a melhorar seus sistemas.
A iniciativa também indica um crescimento na aceitação da ideia de que tornar públicos os códigos de computadores pode fazer com que os sistemas sejam mais seguros –uma filosofia que há tempos é defendida pelo movimento de software livre.
O "Mapa do Tesouro" do Uber detalha a infraestrutura do software da companhia, identifica que tipo de dados podem ser expostos sem consentimento e sugere quais falhas são mais prováveis de serem encontradas.
"Estamos coletando muita informação e tornando isso público para nivelar o jogo, de tal forma que encontrar falhas seja tão fácil para quem está de fora quanto é para nós", disse Collin Greene, gerente de engenharia de segurança do Uber.
Companhias raramente revelam muito sobre seus sistemas, exceto para permitir que terceiros criem softwares compatíveis.
"Esse é um nível de confiança que não se via em muitas companhias de código fechado no passado, e estou muito esperançoso de que outras vão seguir o processo", disse Alex Rice, diretor de tecnologia na HackerOne, que está gerenciando o programa de recompensas do Uber.
Empresas como a HackerOne, a Bugcrowd (uma rival de San Francisco) e outras start-ups têm ajudado a acelerar esforços para explorar a comunidade independente na identificação de alguns erros sérios de programação –antes que criminosos ou espiões o façam. Tais empresas podem servir como intermediárias entre os investigadores e as companhias, e às vezes analisar as descobertas feitas.
Uma década atrás, hackers apontando problemas temiam ser presos, mas agora, por meio de plataformas como o HackerOne, podem até mesmo ganhar alguns trocados. Companhias como o Uber, buscando fortalecer suas defesas, não pagam tanto quanto criminosos ou militares procurando ferramentas para executar ataques. Mas oferecem opções para aqueles que preferem agir de forma honesta.
Casey Ellis, presidente executivo da Bugcrowd, disse ter visto uma onda de clientes corporativos procurando por programas de recompensa que sejam abertos a investigadores selecionados.
"Isso aumenta o nível de confiança que você está dando aos investigadores", disse Ellis. "Nós desenvolvemos programas confiáveis onde as pessoas conseguem versões beta da 'internet das coisas' ou acesso ao código-fonte."