No dia 15 de setembro, o brasileiro Andres Alonso Bie Perez, de 14 anos, foi surpreendido com a notícia de que receberia um prêmio de US$ 25 mil do Facebook. O montante, na verdade, era uma espécie de recompensa, após o adolescente ter descoberto uma falha de segurança no Instagram e, na sequência, ter comunicado o problema à equipe de segurança da empresa.
Assim como outras companhias, o Facebook possui um programa de “bug bounty”, responsável em premiar e recompensar informações sobre vulnerabilidades em seus respectivos serviços.
Andres, que é mineiro, ficou sabendo da oportunidade assistindo a vídeos no YouTube e esperava receber, no máximo, US$ 1 mil pelo que tinha encontrado.
“Eu estava de boa e recebi a notificação do Facebook e o valor. Eu não esperava um valor tão alto”, frisou Andres em entrevista ao blog de Altieres Rohr.
O menino, que já pretendia dedicar um tempo para procurar falhas e participar do programa de “bug bounty” do Facebook, contou que a descoberta que rendeu a ele o prêmio aconteceu enquanto criava um aplicativo de celular.
“Naquele momento, eu não estava procurando”, afirmou.
No entanto, essa mão foi a primeira vez que Andres participou desse tipo de programa. Porém, até então, ele só tinha recebido palavras de agradecimento das empresas envolvidas.
Cabe ressaltar que quem determina o valor pago pelas falhas relatadas a esses programas de “bug bounty” é sempre a empresa. No caso do Facebook, o pagamento médio é de US$ 1,5 mil (cerca de R$ 8 mil).
A companhia confirmou o pagamento ao brasileiro e agradeceu a colaboração, além de destacar que a brecha não foi explorada em ataques.
“O pesquisador relatou um problema que poderia permitir o envio de um código malicioso por meio de um filtro Spark AR que poderia ceder acesso à conta do Instagram de uma pessoa por meio do cliente da web da plataforma. Graças ao relatório, corrigimos a falha e não encontramos evidências de abuso”, assegurou a rede social ao blog.
Descoberta
O adolescente queria criar um aplicativo capaz de replicar certos filtros de imagem do Instagram, que só estão disponíveis no computador, o que o obrigou a entender o funcionamento do serviço.
Após analisar o método utilizado para criação desses filtros, Andres percebeu que os links podiam ser manipulados para incluir qualquer código na página do Instagram. Por regra, sites não podem permitir que outras pessoas controlem o código carregado na página, isso se caracteriza como uma vulnerabilidade.
“Eu estava fazendo um aplicativo que precisa integrar com os filtros do Instagram e precisava saber como ele criava os links dos filtros. Para isso eu tive que estudar o aplicativo e vi que tinha a possibilidade de ser [uma falha]. Eu testei e deu certo”, detalhou.
Há cerca de três anos, Andres iniciou os estudos em programação, por conta própria. Ele começou a ter mais contato com computadores em um curso de design gráfico aos 9 anos de idade. Atualmente, ele conhece linguagens de programação para sites e aplicativos.
No ano passado, o garoto ganhou medalha de prata na Olimpíada Brasileira de Informática (OBI) organizada pela Universidade Estadual de Campinas (Unicamp) e pela Sociedade Brasileira de Computação (SBC). Entretanto, após 6 meses, ele largou o curso de programação porque o conteúdo estava repetindo tópicos que ele já havia estudado por meio de vídeos no YouTube.
A mãe de Andres, Helenice Luzia Perez, afirma que a ideia de estudar design gráfico partiu do próprio filho e que ele não tinha a mesma motivação para participar de outros tipos de cursos.
Helenice ainda ressalta que o filho não tinha interesse em estudar inglês quando era menor. Agora, Andres já enxerga os benefícios: o contato com a equipe de segurança do Facebook depende do idioma estrangeiro, que ele estuda há dois anos.
Ademais, o adolescente garantiu que pretende continuar cirando aplicativos, para “ver se alguma ideia vai dar certo”. Mas, o que ele deseja realmente é aprofundar os conhecimentos em segurança digital para trabalhar na área. O prêmio do Facebook pode ajudar nessa caminhada. Uma fração do dinheiro foi utilizada para comprar um computador novo, porém, Andres também pensa no futuro.
“O restante eu vou guardar e investir uma parte”, disse.
Acho importante esse incentivo à yecnologia.Temos talentos que não são explorados.