O estudante mineiro Andres Alonso Bie Perez, de apenas 14 anos, recebeu um prêmio de US$ 25 mil (cerca de R$ 130 mil) do Facebook após ajudar a descobrir uma falha de segurança no Instagram e comunicar o problema à equipe de segurança da empresa.
O Facebook, como muitas outras companhias, possui um programa de "bug bounty" para premiar e recompensar informações sobre vulnerabilidades em seus serviços.
Andres, que ficou sabendo da oportunidade assistindo a vídeos no YouTube, esperava receber no máximo US$ 1 mil pelo que tinha encontrado. "Eu estava de boa e recebi a notificação do Facebook e o valor. Eu não esperava um valor tão alto", contou Andres ao blog do Altieres Rohr.
"O pesquisador relatou um problema que poderia permitir o envio de um código malicioso por meio de um filtro Spark AR que poderia ceder acesso à conta do Instagram de uma pessoa por meio do cliente da web da plataforma. Graças ao relatório, corrigimos a falha e não encontramos evidências de abuso", disse a rede social ao blog.
A falha foi descoberta porque Andres queria criar um aplicativo para replicar filtros de imagem do Instagram que só estão disponíveis no computador. Quando analisou o método utilizado para criar esses filtros, ele percebeu que os links podiam ser manipulados para incluir qualquer código na página do Instagram.
De acordo com a regra da empresa, sites não podem permitir que outras pessoas controlem o código carregado na página – o que caracteriza uma vulnerabilidade.
"Eu estava fazendo um aplicativo que precisa integrar com os filtros do Instagram e precisava saber como ele criava os links dos filtros. Para isso eu tive que estudar o aplicativo e vi que tinha a possibilidade de ser [uma falha]. Eu testei e deu certo", explicou o brasileiro ao blog.
Quem decide o valor pago pelas falhas relatadas a esses programas de "bug bounty" é sempre a empresa. No caso do Facebook, o pagamento médio é de US$ 1,5 mil (cerca de R$ 8 mil).
Fonte: blog do Altieres Rohr