Mesmo pertencendo a uma empresa internacional, a Naspers, o OLX é uma marca bem conhecida dos portugueses. Provam-no os números médios da plataforma no ano corrente: 923 mil visitas diárias, 28 milhões de visitas por mês, mais de 23 mil novos anúncios todos os dias, 715 mil novos anúncios todos os meses.
O OLX até já teve um programa dedicado na televisão portuguesa – não são todas as plataformas que podem mostrar esta abrangência no seu currículo.
O OLX destaca-se também por ser uma das marcas que está inserida na plataforma HackerOne, uma que faz intermediação entre empresas e especialistas de segurança informática para programas de caça ao bug. Dentro deste ‘bolo’ está também o site português da plataforma – olx.pt -, o que acaba por colocá-lo como um dos poucos sites portugueses que estão à mercê dos investigadores do HackerOne.
Na listagem oficial da HackerOne existem outros sites portugueses, como o da Portugal Telecom, mas nenhum deles tem ativo um programa de caça ao bug.
Estivemos à conversa com um dos elementos da equipa de cibersegurança do OLX, Joaquin Rinaudo. De origem argentina, está a trabalhar na Alemanha e é a partir de lá que vai gerindo todas as questões de segurança do OLX e também do programa HackerOne.
O OLX começou o seu programa de caça ao bug no dia 11 de julho de 2016
Em entrevista ao FUTURE BEHIND, o engenheiro diz que gerir a segurança de uma estrutura como o OLX “é difícil pois o OLX tem várias plataformas a funcionar de forma independente umas das outras”. “É muito difícil de manter pois tens de informar todas as regiões, que estão em zonas de tempo diferentes, tens sempre de mexer-te em conjunto”.
Apesar desta maior exigência, a entrada no HackerOne foi uma escolha que Joaquin Rinaudo dá como completamente acertada. “Acredito fortemente que o HackerOne para nós foi a ferramenta certa, porque permite-nos outra performance, outros procedimentos, outros processos em maior volume por causa do grande número de relatórios que estamos a ter”.
Ainda assim a decisão de expor uma plataforma com milhões de utilizadores a investigadores e hackers ‘sedentos’ é uma decisão que precisa da sua ponderação. No caso do OLX tanto os diretores tecnológicos como os próprios diretores executivos ajudaram a encontrar o momento certo para a plataforma abraçar esta prática, que começa a ser cada vez mais comum na indústria tecnológica.
“Todos os CTO, CEO e parceiros legais estão contentes com isto porque é uma forma de mostrarmos que nos preocupamos com a segurança e que nos dá um impulso importante de segurança”.
“Encontrámos um bom momento em que decidimos que éramos maduros o suficiente para irmos para o HackerOne. Não é fácil, há muitas coisas a fazer de forma correta, ainda estamos a aprender, estamos a maturar o processo, a forma de trabalhar e de pensar a segurança, de como criar consciencialização. A decisão de estar no HackerOne foi fácil, mas mais tarde veio a parte difícil, o que vem a seguir é difícil”, explicou.
Abrir a Caixa de Pandora
Então e o que veio mais tarde? Muitos relatórios de segurança, várias vulnerabilidades para corrigir. Nem todas têm o mesmo grau de urgência, mas graças ao programa no HackerOne o OLX já conseguiu sanar várias vulnerabilidades graves.
Joaquin Rinaudo explicou que as falhas de cross-site scripting (XSS) são as mais comuns num ambiente web. Na prática estas falhas permitem que um pirata informático coloque um script numa página web para atingir um fim malicioso.
O elemento da equipa de segurança lembra uma falha no qual bastava ao utilizador interagir com um anúncio da plataforma para ficar afetado por malware. Mas lembrou também outros dois exemplos graves.
“O maior que já tivemos e que já resolvemos era uma injeção de SQL (base de dados) na Índia. A outra foi era uma falha brute force, que permitia mudar oito caracteres de um URL, uma pessoa podia ir tentando diferentes combinações e tentar aceder a outras contas. Apenas por mudar os caracteres no final do URL conseguiam aceder. Estas foram as duas principais, notifiquei as equipas imediatamente e foi resolvido num dia”.
No site português também já foi encontrada uma vulnerabilidade de stored XSS grave. Aliás, o domínio olx.pt é apenas um dos seis que os especialistas em segurança informática podem usar para descobrir problemas na plataforma OLX.
BugCrowd, Cobalt e Bounty Factory são outras plataformas que têm programas públicos de caça ao bug
“Quando começámos ainda estávamos a crescer no número de sites que temos. Mas escolhi nos sites principais que estavam realmente maduros e pensei que podiam trabalhar mais rápido e podiam acompanhar com o número de problemas de segurança”, explicou Joaquin Rinaudo.
Em termos teóricos podia parecer mais simples colocar sites do OLX que tivessem menos expressão e que assim representassem um nível de exposição menor para a tecnológica. Mas Rinaudo explicou que os sites menos maduros são os que têm as equipas menores e que isso acabaria por sobrecarregá-los de trabalho. Dificultaria também uma maior celeridade na resolução de todos os problemas em todas as plataformas.
Neste caso o X não tem valor
O OLX já recebeu dezenas de relatórios sobre vulnerabilidades nos seus sites, tendo corrigido 94 até ao momento de publicação deste artigo. Uma destas vulnerabilidades foi submetida pelo investigador português David Sopas, que ocupa a 29ª posição no Hall of Fame da plataforma HackerOne.
“O tipo de vulnerabilidade que encontrei foi do tipo stored XSS [o que nos leva a crer que foi a mesma referida por Joaquin Rinaudo]. Uma falha bastante grave e que teve atenção devida da equipa de segurança da empresa. Encontrei ainda outras 3 falhas. Uma duplicada, ou seja, já encontrada por outro investigador e as outras foram consideradas informativas e riscos aceitáveis. Estas últimas não concordo com o feedback do OLX, mas no final são eles os responsáveis pelos seus utilizadores”.
Sendo um especialista já com vasto historial na área dos bug bounties, questionámos o David Sopas sobre a experiência que teve com o OLX na resolução do problema.
“Em termos de experiência, principalmente na falha que o OLX considerou válida, posso dizer que pensei que fosse mais rápido. Demorou cerca de 3 meses a ser resolvida, mas foi justificada com diversos testes para validar se outros sites do grupo eram afetados”.
Justamente a tal questão que Joaquin Rinaudo já tinha dito – por vezes o OLX move-se de forma lenta pois tem de mexer todo o grupo ao mesmo tempo. Na plataforma HackerOne a empresa diz mesmo que em média leva dois meses a sarar os problemas reportados.
“Estamos a construir a maior agência de talento de segurança”, Marten Mickos, CEO HackerOne
Um dos aspetos interessantes do programa de bugs da empresa é que não funciona, para já, com base numa retribuição monetária.
Não deixa de ser curioso que a plataforma que mais nos ensinou que tudo tem um preço – “Se vale X, OLX” -, tem um programa de caça ao bug que não recompensa monetariamente os investigadores que ajudarem a encontrar vulnerabilidades.
Esta já não é uma prática tão comum no segmento tecnológico. Google, Apple, Microsoft, Twitter e muitas outras têm programas de caça ao bug, mas dão uma recompensa monetária em troca.
Neste campo basta lembrar que o factor pagamento é um dos que faz os hackers portugueses os melhores caçadores de bugs do mundo – palavras da BugCrowd – e que três jovens portugueses conseguiram quase 16 mil dólares da Uber por terem descoberto várias falhas na sua aplicação.
“Já sou perito em segurança há algum tempo e concordo que os pagamentos são bons, pois recebes bastantes vulnerabilidades quando começas a pagar. Mas por agora ainda temos muito para amadurecer”, começou por dizer Joaquin Rinaudo, para depois acrescentar:
“Se oferecêssemos 100 dólares ou 500 dólares por vulnerabilidade, teríamos dez vezes mais relatórios. E teria os programadores a consertar coisas durante três meses e isso não seria produtivo”.
Por agora o OLX faz um reconhecimento e agradecimento público do trabalho feito pelos investigadores, mas o objetivo é que o programa venha a evoluir no sentido das restantes empresas tecnológicas.
O OLX já agradeceu publicamente a 114 hackers
“Mas concordo. No futuro temos de mover para um programa de recompensas. Quando virmos que estamos maduros o suficiente e que temos recursos, pagaremos pelas vulnerabilidades. É o último estágio onde queremos estar e queremos mesmo lá chegar”, defendeu o especialista argentino.
A vontade de evoluir no panorama da segurança é tanto que Joaquin Rinaudo confirmou ao FUTURE BEHIND que está no alinhamento da Naspers colocar outros sites da FixeAds – a empresa portuguesa responsável pelo OLX – no HackerOne. Ou seja, sites como o Imovirtual, Coisas e o Standvirtual vão acabar por ser integrados no programa de caça aos bugs do HackerOne.
Por fim uma palavra de Joaquin Rinaudo sobre o facto de quase não haver projetos portugueses no HackerOne.
“Penso que isto dos programas de pagar por vulnerabilidades é recente e vimos muitas empresas a adotar este modelo. O HackerOne e outros sites têm tido uma boa adoção. Mas ao mesmo tempo isto leva muito tempo e exige esforço para chegar aqui”.
“Para mim pensar nos processos, na coordenação, talvez em Portugal, na Argentina, ainda não existem muitas empresas no HackerOne. Penso que ainda não atingiram o nível de maturidade no qual conseguem lidar com vários relatórios de segurança num único dia”.
Uma ideia que David Sopas corrobora. “Penso que ainda não existem empresas portuguesas em programas de bounty, mas deverá ser uma questão de tempo. Na minha opinião devem existir cerca de 4 a 5 empresas em Portugal que têm capacidade e recursos para manter um programa de bug bounty”.
O consultor informático da CheckMarx explicou depois o que podem as empresas esperar de programas de caça ao bug.
“A vantagem imediata neste tipo de programas é a disponibilidade de ter N investigadores associados com diferentes metodologias de ‘testes de intrusão’ num programa. De referir que inicialmente é muito importante ter uma moderação ou acompanhamento por um membro do programa porque poderá ser um choque receber falhas que por vezes nunca seriam reportadas em ‘testes de intrusão’ mais convencionais. O ideal é ter mesmo ambos. Auditorias regulares e ter um programa privado de bug bounty. Mas para isso são necessários muitos recursos, e só alguns o podem fazer”.
Por fim Joaquin Rinaudo deixou as suas expectativas relativamente ao desenvolvimento deste segmento. “Espero que mais pessoas adotem esta prática porque ajuda imenso. Não estamos a pagar e os resultados que já obtivemos até agora foram espantosos”, defendeu, para depois acrescentar:
“Fico à espera que outros sites portugueses adotem o HackerOne ou outros sites de programas.O BugCrowd também é bom. Mas seria bom começar um movimento, deviam haver mais pessoas no HackerOne”.