O programa da Toss funcionou por apenas alguns meses em seus dois primeiros anos, mas a empresa o mantém em operação contínua desde o final de 2023. Hackers podem reportar quaisquer vulnerabilidades que descobrirem ao aplicativo. Esses hackers "white hat" podem ser recompensados ​​com até 30 milhões de wons (mais de meio bilhão de dongs) por encontrarem bugs graves.

A Toss é a única empresa financeira na Coreia que mantém um programa regular de recompensa por bugs, o que reflete a confiança da empresa em suas capacidades de segurança, de acordo com Lee Jong Ho, um hacker white hat e chefe do departamento de segurança da Toss.

8ax1ybjo.png
Lee Jong Ho, chefe da divisão de segurança da Toss. Foto: Korea Herald

Lee disse ao Korea Herald que o programa de recompensa por bugs pode expor todas as vulnerabilidades que uma empresa desconhece em seu sistema de segurança. Além disso, a Toss é a única empresa coreana com uma "equipe vermelha" – termo para uma equipe de profissionais de segurança cibernética encarregada de simular ataques para testar a eficácia de sistemas ou estratégias de segurança.

A equipe vermelha da Toss é composta por 10 hackers white hat, além de Lee. Eles trabalham com a "equipe azul" (a equipe de defesa) diariamente. "Ao remover vieses, descobrimos vulnerabilidades que as empresas ignoram e tentamos penetrar nas defesas, fortalecendo assim nossa resiliência contra ameaças reais", explica Lee.

A Toss aprimorou suas medidas de segurança criando programas de defesa personalizados, como o Toss Guard e o Phishing Zero, e integrando-os internamente. Essas medidas não apenas garantem flexibilidade e escalabilidade para acompanhar o crescimento da empresa, mas também promovem um sistema de defesa robusto, adaptado ao ambiente único da Toss, enfatizou Lee.

No entanto, comprometer-se com segurança aprimorada não é uma escolha simples para as empresas devido aos custos significativos envolvidos. De acordo com um relatório da Viva Republica, operadora do Toss, do total de 83,9 bilhões de wons investidos em tecnologia da informação no ano passado, 11,5% – ou 9,6 bilhões de wons – foram dedicados à segurança, um dos maiores índices registrados entre as empresas de tecnologia coreanas.

Lee afirmou que esse compromisso com a melhoria da segurança foi o motivo pelo qual escolheu se juntar à Toss. Depois de passar uma década na RaonSecure, fornecedora de soluções de segurança, Lee foi requisitado por diversas empresas. Inicialmente, ele recusou a Toss, mas foi convencido a mudar pelo fundador e CEO Lee Seung Gun.

Lee enfatiza que as defesas do Toss não são perfeitas. À medida que a tecnologia avança, ironicamente, está se tornando mais fácil para os cibercriminosos se infiltrarem em nosso cotidiano, observa ele. Tecnologias de IA generativa, como modelos de linguagem de grande porte, ChatGPT e outras, oferecem novos vetores de ataque, reduzindo a barreira de entrada para os cibercriminosos. Há também o ransomware, disponível como um serviço de assinatura mensal.

Observando que o mercado está crescendo rapidamente, Lee afirmou ser importante que as empresas desenvolvam seus próprios sistemas de segurança em vez de depender de soluções prontas. Ao mesmo tempo, é necessário aumentar a conscientização geral para reduzir o risco de ataques cibernéticos. Ele sugeriu que a segurança cibernética seja incluída nos programas de educação obrigatórios, assim como a segurança contra incêndio nas escolas.

(De acordo com o Korea Herald)