Brasileiro ganha R$ 130 mil após encontrar falha de segurança no Facebook

O estudo mineiro Andres Alonso Bie Perez (Reprodução)

O estudante mineiro Andres Alonso Bie Perez, de 14 anos, recebeu UU$ 25 mil, cerca de R$ 130 mil, em moeda brasileira do Facebook após encontrar falhas de segurança no aplicativo.

Conforme a coluna publicada neste sábado (31), no G1, o adolescente foi surpreendido no último dia 15 de setembro com a notícia de que receberia o prêmio do Facebook como recompensa por descobrir uma falha de segurança no Instagram e comunicar o problema à equipe de segurança da empresa.

O Facebook possui um programa de "bug bounty" para premiar e recompensar informações sobre vulnerabilidades em seus serviços.

O adolescente já pretendia dedicar um tempo para procurar falhas e participar do programa de "bug bounty" do Facebook, mas a descoberta que rendeu a ele o prêmio aconteceu enquanto criava um aplicativo de celular. "Naquele momento, eu não estava procurando", revela.

Andres queria criar um aplicativo capaz de replicar certos filtros de imagem do Instagram que só estão disponíveis no computador, mas quando analisou o método utilizado para criar esses filtros, ele percebeu que os links podiam ser manipulados para incluir qualquer código na página do Instagram.

Por regra, sites não podem permitir que outras pessoas controlem o código carregado na página – o que caracteriza uma vulnerabilidade. "Eu estava fazendo um aplicativo que precisa integrar com os filtros do Instagram e precisava saber como ele criava os links dos filtros. Para isso eu tive que estudar o aplicativo e vi que tinha a possibilidade de ser [uma falha]. Eu testei e deu certo", explica.

Quem decide o valor pago pelas falhas relatadas a esses programas de "bug bounty" é sempre a empresa. No caso do Facebook, o pagamento médio é de US$ 1,5 mil (cerca de R$ 8 mil).

A companhia confirmou o pagamento ao brasileiro e agradeceu a colaboração, além de destacar que a brecha não foi explorada em ataques. "O pesquisador relatou um problema que poderia permitir o envio de um código malicioso por meio de um filtro Spark AR que poderia ceder acesso à conta do Instagram de uma pessoa por meio do cliente da web da plataforma. Graças ao relatório, corrigimos a falha e não encontramos evidências de abuso", disse a rede social ao blog.

Pais incentivam: 'Ele faz o que gosta'

Andres iniciou os estudos em programação por conta própria há três anos. Começou a ter mais contato com computadores em um curso de design gráfico aos 9 anos e hoje conhece linguagens de programação para sites e aplicativos.

Em 2019, o adolescente ganhou medalha de prata na Olimpíada Brasileira de Informática (OBI) organizada pela Universidade Estadual de Campinas (Unicamp) e pela Sociedade Brasileira de Computação (SBC), mas largou o curso de programação após 6 meses porque o conteúdo estava repetindo tópicos que ele já tinha estudado pelos vídeos no YouTube.

A mãe de Andres, Helenice Luzia Perez, explica que a ideia de estudar design gráfico partiu do filho e que ele não tinha a mesma motivação para participar de outros tipos de cursos.

"Ele escolhe o que ele quer fazer. Porque, se eu colocasse por minha parte, ele não gostava, não estudava, falava que era chato. Eu acabei aprendendo com ele que ele tem que fazer o que ele gosta. E faço o possível, até corto despesas, para ele fazer os cursos na área dele, porque eu sei que ele é responsável. Quando ele fala que quer alguma coisa, ele vai levar a sério", conta a mãe.

O adolescente diz que pretende continuar experimentando com a criação de aplicativos – para "ver se alguma ideia vai dar certo" –, mas quer aprofundar os conhecimentos em segurança digital para trabalhar na área.

O prêmio do Facebook pode ajudar. Uma fração do dinheiro foi usada para comprar um computador novo, mas Andres também pensa no futuro. "O restante eu vou guardar e investir uma parte", planeja.

Reportar Erro