Até agora, ser técnico na Índia era sinônimo de programador ou programador. Mas não mais.
A pirataria ética tornou-se uma carreira lucrativa para engenheiros no país.
Laxman Muthiyah, um pesquisador de segurança independente de 26 anos de Chennai, ganhou US $ 62.000 nos últimos cinco anos ao encontrar falhas de segurança no Facebook e em seu aplicativo de compartilhamento de fotos no Instagram. Em março deste ano, Rohit Kumar, estudante do segundo ano da Lovely Professional University (LPU), foi incluído no Hall da Fama do Facebook por estar entre os 20 principais caçadores de recompensas de insetos em 2018.
Em 2018, os hackers da Índia obtiveram a segunda maior porcentagem de recompensas do mundo, depois dos EUA. UU., De acordo com a empresa de segurança cibernética HackerOne.
Quartz conversou com três hackers éticos: Sandeep Singh, analista de segurança de 25 anos do HackerOne; 23 anos Shivam Vashisht, que abandonou a engenharia de mineração no Instituto Nacional de Tecnologia (NIT), Raipur, no segundo ano; e Harsh Jaiswal, 21, que trabalha como engenheiro de segurança na empresa de tecnologia de alimentos Zomato durante o dia e hacks à noite.
Trechos editados:
Como você entrou na pirataria e quando se tornou uma profissão?
Singh: Tudo começou quando eu segui a sugestão de um amigo de participar de um curso de treinamento em pirataria ética. Eu praticava pirataria há três anos quando aprendi sobre recompensas de erros.
Jaiswal Eu amo jogos de computador. Então, eu costumava procurar hacks de jogos, o que me levou a muitos sites tentando me convencer a completar minhas senhas do Facebook / Google. Foi quando eu aprendi sobre ataques de phishing. No momento em que recebi minha primeira recompensa do Medium, percebi que isso é ótimo. Se você permitir que eles aprendam e ganhem juntos, por que não torná-lo uma profissão?
Por que você prefere hackear um trabalho tradicional de desenvolvedor?
Vashisht: Em um trabalho de desenvolvedor tradicional e mal remunerado, eu simplesmente arranhava a superfície com alguma tecnologia e trabalhava para desenvolver as coisas sem levar em consideração o cenário geral. Com a pirataria, posso explorar muito mais e isso tem um resultado poderoso.
Quais plataformas você está hackeando?
Singh: Eu costumava invadir o Airbnb, o Facebook e a maioria das outras empresas privadas, então não posso revelar seus nomes.
Vashisht: Alguns dos meus favoritos são Yahoo !, MasterCard, Netflix e Okta. Eles têm equipamentos de segurança muito aconchegantes. Também trabalho em particular com algumas empresas conhecidas de bilhões de dólares que não posso citar publicamente.
Jaiswal Se eu tiver que escolher alguns, eles serão Vimeo, PayPal e Linode. Eles têm um excelente tempo de resposta, apreciam meus esforços e, é claro, recompensam bem. É sempre motivador quando todas essas caixas estão marcadas.
Você pode dar alguns exemplos específicos das maiores ameaças que você ajudou a diagnosticar / resolver?
Vashisht: Um deles estava em uma empresa de recrutamento de empregos on-line com sede nos Estados Unidos. Encontrei uma falha que revelava as informações privadas de cada usuário que, se usadas com intuito malicioso, poderiam ter sido usadas para bloquear ou criptografar todos os dados. Para o painel administrativo completamente bloqueado de uma empresa de música com sede nos EUA. UU., Fui capaz de injetar consultas sql que poderiam ter sido usadas para baixar todos os dados de seus usuários, efetuar login no painel de administração e obter acesso total ao sistema de arquivos de seus servidores.
Jaiswal Ajudei a descobrir toneladas de brechas de segurança que incluem, entre outros, vazamentos de dados nos quais alguém poderia ter vazado as informações privadas de todos os usuários desse produto e omissões de autenticação nas quais se poderia ter acesso a Contas de usuário. .
Como você ganha dinheiro: recompensas ou salários?
Vashisht: Minha única fonte de renda são as recompensas. Isso tem aumentado para mim todos os anos. Em 2018, ganhei cerca de US $ 125.000 (Rs90 lakh).
Jaiswal Isso é muito subjetivo, mas se eu tiver que dar um lucro médio das recompensas de erro, deve ser de US $ 40.000 a US $ 60.000 por ano. Pode ser muito mais, dependendo de quantas horas e quanto esforço você dedica e do tipo de erros e programas em que está se concentrando.
Anteriormente (minha renda) eram todas recompensas, mas agora o salário também desempenha um papel importante. Os salários são constantes. Quando se trata de recompensas, há uma exaustão. Haverá um período em que você começará a se sentir exausto e precisará de um bom descanso para se fortalecer.
Qual é o valor máximo que você recebeu por um hack? Por favor, descreva o que era.
Singh: US $ 6.000 de uma empresa privada para acessar o painel interno da empresa, que não deveria estar acessível a ninguém de fora.
Vashisht: Fui pago $ 11.500 por um erro no Yahoo! Consegui roubar os cookies de uma conta de usuário usando um de seus servidores para injetar código malicioso, o que resultou em uma aquisição completa da conta, ou seja, permitindo ao invasor ler todas as informações do Yahoo! Conteúdo de email e pode ser usado para comprometer ainda mais as contas associadas, como o Facebook. O servidor foi removido algumas horas após a falha ter sido reparada.
Jaiswal O PayPal me pagou US $ 30.000 pela execução de comandos arbitrários do sistema operacional no servidor do PayPal. Ele havia colaborado com um amigo para esse truque. Meu erro individual mais bem pago foi de US $ 20.000, mais uma vez do PayPal, para encontrar uma maneira de roubar tokens de acesso de outros usuários que poderiam ter me permitido acessar suas contas.
Como está a comunidade de hackers na Índia?
Vashisht: A comunidade de hackers na Índia é a maior do mundo. (O país hospeda 27% de todos os hackers de chapéu branco do mundo). Você pode ver hackers de quase todas as regiões da Índia. Em termos de gênero, os homens têm dominado por enquanto, mas essa comunidade é bastante aberta e vejo muitas mulheres participando. Nos próximos anos, isso mudará definitivamente à medida que a conscientização profissional relacionada à segurança da informação aumentar.
Jaiswal Tenho amigos em segurança da informação de toda a Índia. Existem pessoas que não são financeiramente fortes e existem pessoas que são. Vi pessoas que apóiam financeiramente suas famílias com recompensas por bugs, o que é realmente ótimo.
Onde você se vê daqui a 10 anos? Qual é o futuro deste trabalho?
Singh: Pessoalmente, espero relaxar e viver uma vida pacífica em algum canto da Índia, perto de montanhas e natureza. A Bug Bounty tem um grande futuro e é uma das melhores carreiras profissionais para homens qualificados que querem viver uma vida independente, em seus próprios termos.
Vashisht: Eu provavelmente gostaria de gastar um tempo pesquisando um pouco. Essa é uma profissão menos conhecida e tem muito potencial; a maioria desses empregos em empresas de todo o mundo está vazia.
Jaiswal Eu acredito em levá-lo passo a passo. Me inspira Tsai Orange, Descritor de arquivo, Frans‘Pesquise e aspire a fazer um bom trabalho de pesquisa como eles no futuro e contribua para a comunidade. Quando se trata do futuro, lembre-se: "Dados são o novo petróleo". Tudo está online, então o setor de segurança cibernética só crescerá. Além disso, com as novas leis de segurança como o GDPR que entram em jogo, o futuro parece mais brilhante.
