Primeiro Aulão Presencial no Brasil: Bug Bounty, Flipper Zero e os Bastidores da Equipe
Capítulos
5 seçõesNeste artigo
- O que você vai aprender neste aulão
- Como Andrés Alonso hackeou o Instagram e ganhou R$130 mil
- O que é bug bounty e como participar
- XSS na prática: a mesma falha que está hackeando sites do governo brasileiro
- Flipper Zero: o que faz e por que é proibido no Brasil
- Câmera infravermelha: detectando câmeras escondidas e calor humano
- SIM swap e por que autenticação por SMS não protege ninguém
- C2: como funciona um servidor de comando e controle
- Como o HI SPY foi programado do zero
- Dicas de produção de conteúdo para YouTube
- Ferramentas Utilizadas Neste Aulão
- Perguntas Frequentes
- O que é bug bounty e como começar?
- Quanto paga um programa de bug bounty?
- O Flipper Zero é realmente proibido no Brasil?
- Como funciona uma falha XSS?
- O que é SIM swap e como se proteger?
- Como funciona uma câmera infravermelha para segurança?
- O que é um servidor C2 (Command and Control)?
- Qual tecnologia foi usada para criar o HI SPY?
- Referências e Recursos
O que você vai aprender neste aulão
Quer saber bug bounty como funciona na prática? Neste aulão eu trouxe quem já ganhou $25.000 do Facebook encontrando falhas de segurança — e mais: demonstrei ao vivo equipamentos como o Flipper Zero e uma câmera infravermelha. No primeiro aulão presencial no Brasil, reuni a equipe inteira para um bate-papo: Andrés Alonso (que hackeou o Instagram aos 14 anos), Diego Andretta (que demonstrou o Flipper Zero), Lucas Daleia (editor do canal) e Luã Álvaro (desenvolvedor que programou o HI SPY do zero).
Depois de assistir, você vai entender como funciona um programa de bug bounty — com valores reais, etapas de report e a diferença entre o que paga e o que não paga. E vai ver ao vivo uma câmera térmica revelando calor humano no escuro. E vai descobrir como a primeira etapa de qualquer hacking é, na verdade, investigação digital — a mesma que eu ensino aqui no canal desde o Aulão #1 — Os 4 Segredos para Dominar OSINT.
Como Andrés Alonso hackeou o Instagram e ganhou R$130 mil
Andrés Alonso começou vendendo filtros do Instagram por R$100 cada usando o Spark AR, a plataforma da Meta para criar efeitos de realidade aumentada. Ele tinha 14 anos. O negócio cresceu rápido — 50 pessoas por dia pediam filtros customizados, mais do que ele conseguia entregar manualmente.
A solução lógica? Criar um aplicativo para automatizar a criação de filtros. E foi aí que tudo mudou.
Ao estudar o sistema interno do Instagram para construir o app, Alonso começou a testar se era possível injetar código. Cinco dias quebrando a cabeça. Testando parâmetros, modificando requisições, inserindo payloads. Até que um código funcionou — e ele percebeu que tinha encontrado uma falha de XSS (Cross-Site Scripting) nos filtros do Instagram.
O que essa falha permitia fazer
A falha tinha dois níveis de gravidade dependendo do browser da vítima:
- Browsers antigos: era possível roubar os cookies da sessão da vítima e hackear a conta completamente — sem precisar de autenticação de dois fatores, sem nada. O atacante simplesmente assumia a sessão
- Browsers modernos: a falha permitia redirecionar o usuário para qualquer página — o que abria espaço para phishing sofisticado, como uma página falsa pedindo "pague seu filtro do Instagram"
E Facebook fez algo inesperado: reclassificou a falha. Alonso reportou como média (esperando receber $500 a $1.000). Um mês depois, recebeu uma notificação: $25.000. O Facebook reconheceu que era grave — mais grave do que o próprio Alonso imaginava.
"Essa falha do Instagram é 0,5% do que esse cara faz", eu disse na live. Mas a mídia só fala do Instagram porque é o nome que chama atenção.
O que é bug bounty e como participar
Bug bounty é literalmente "recompensa do bug". Empresas como Google, Apple, Facebook, Nubank, PayPal, iFood, Pornhub, Steam e até o FBI mantêm programas onde você pode reportar falhas de segurança e receber dinheiro em troca. Os valores variam de $50 por falhas simples até $25.000 ou mais por vulnerabilidades críticas.
E a maior plataforma hoje é o HackerOne. Na live, eu mostrei o feed do Hacktivity em tempo real — o que apareceu foi revelador:
- BMW hackeada 8 horas antes
- LinkedIn com falha reportada 2 dias antes
- Alguém encontrou no X/Twitter uma forma de pegar o selo de verificação sem pagar
- Departamento de Defesa dos EUA com falhas no feed
No Brasil, existe a BugHunt, que é referência em bug bounty na América Latina. Mas a realidade brasileira é diferente: como o Alonso contou, empresas brasileiras costumam responder falhas reportadas com "um forte abraço e obrigado" em vez de recompensa.
Information disclosure lidera o ranking de falhas
Uma coisa que poucas pessoas percebem: o tipo de falha mais reportado no HackerOne é information disclosure — informação vazada. E sabe como a maioria dessas falhas é encontrada? Com Google Hacking.
Eu filtrei ao vivo no Hacktivity por "information disclosure" e apareceram dezenas de casos: pastas expostas, cookies em JavaScript, caches de dados sensíveis, documentos do Google acessíveis publicamente. Nenhum desses é um "hack técnico" — é investigação pura. Um programador sobe um sistema, esquece uma pasta com documentos aberta, ela cai no Google e alguém encontra.
Isso é exatamente o que eu ensino no Aulão #8 — 7 Buscas Perigosas que Revelam Informações Sensíveis no Google. As mesmas técnicas de pesquisa avançada que investigadores usam para encontrar informações sobre pessoas e empresas são as que bug bounty hunters usam para encontrar falhas e ganhar dinheiro.
E Tor, Departamento de Defesa de Minas Gerais, FBI — todos têm programa de bug bounty. A superfície é enorme.
XSS na prática: a mesma falha que está hackeando sites do governo brasileiro
Para quem não é técnico, XSS funciona assim: você injeta um código malicioso dentro de uma página legítima. Quando outra pessoa abre aquela página, o código executa no browser dela — sem que ela perceba nada.
No caso do Instagram, o Alonso criava um filtro com código embutido. A vítima clicava no link do filtro e o código executava. Em browsers antigos, isso capturava os cookies da sessão (basicamente roubava o acesso à conta). Em browsers modernos, redirecionava para onde o atacante quisesse.
Mas o mais assustador é que essa mesma técnica está sendo explorada em massa até hoje. Eu mostrei um vídeo no canal sobre casas de apostas e cassinos online que estão hackeando sites do governo brasileiro — usando XSS para injetar checkout de pagamento dentro de páginas governamentais.
Sites do governo usam templates padrão, tecnologia parecida, e dezenas deles compartilham a mesma vulnerabilidade. Os criminosos exploram isso para redirecionar visitantes para casas de apostas. É a mesma falha que o Alonso encontrou no Facebook, só que aplicada em escala industrial. Se você quer entender como essas falhas funcionam na prática, vale revisar as técnicas de reconhecimento do Aulão #28 — Como Encontrar Subdomínios Escondidos.
Flipper Zero: o que faz e por que é proibido no Brasil
Diego Andretta chegou na live com uma mochila cheia de equipamentos. O primeiro que ele tirou foi o Flipper Zero completo ��� com placa de programação, módulo Wi-Fi e capinha.
O Flipper Zero é um dispositivo portátil do tamanho de um controle remoto que concentra múltiplas ferramentas de pentest. Ele intercepta sinais de alarme de carro (fazendo parecer que trancou quando não trancou), abre portões de garagem, clona cartões NFC e iButton, faz ataques de deauth em redes Wi-Fi, e até funciona como dispositivo de autenticação de dois fatores.
E Flipper Zero tem um detalhe que torna tudo mais interessante: ele é gamificado. Tem um bichinho virtual tipo Tamagotchi que evolui conforme você captura sinais e hackeia coisas. Se você fica uma semana sem capturar nenhum sinal novo, ele fica triste.
Quanto custa e onde comprar
Fora do Brasil, o Flipper Zero custa $300. No Brasil, se você achar por menos de R$6.000, provavelmente é golpe. A Anatel bloqueou a importação e homologação, tornando a venda comercial oficialmente proibida. O Canadá também proibiu.
Mas aqui vai minha opinião: a proibição não faz sentido.
"O Flipper não cria nenhuma falha. Tudo que ele faz, você pode fazer qualquer coisa. Ele só expõe a vulnerabilidade que tá aí." Essa é a realidade. Um D-ALTER para desconectar Wi-Fi pode ser montado por R$70 com um ESP e uma bateria. Aplicativos de R$5 na AliExpress clonam portões de garagem. O Flipper Zero só torna tudo compacto, portátil e fácil de usar.
A solução real não é proibir a ferramenta — é corrigir as falhas. Wi-Fi 6, por exemplo, torna o ataque de deauth completamente inútil. Se toda a infraestrutura migrasse para Wi-Fi 6, esse recurso do Flipper seria obsoleto. A mesma lógica vale para todo o resto: se as falhas fossem corrigidas, o dispositivo ficaria inútil.
É a mesma discussão da inteligência artificial: proibir não vai impedir quem quer fazer mal. Crime já é crime. O caminho é conscientização e correção, como discutimos no Aulão #29 — Contra-Atacando Golpistas.
Câmera infravermelha: detectando câmeras escondidas e calor humano
O segundo equipamento que Diego demonstrou foi uma câmera infravermelha — e a demonstração ao vivo foi impressionante. Apagamos todas as luzes do estúdio e dava para ver as pessoas perfeitamente pelo calor corporal. Quando eu coloquei a mão no notebook e tirei, a marca da mão permaneceu visível por 3 a 5 segundos.
Diego usa essa câmera no trabalho real. Ele gerencia data centers — salas com servidores, cabos e conexões que trabalham com 48 volts em corrente contínua. A câmera detecta pontos de aquecimento anormal em cabos, indicando fuga de corrente. Isso previne incêndios e falhas de equipamento.
Mas a aplicação mais interessante para segurança pessoal é a detecção de câmeras escondidas. Em hotéis e Airbnbs, câmeras espiãs estão cada vez mais comuns. Como toda câmera gera calor ao operar, a parede ao redor fica toda azul (fria) enquanto o ponto da câmera aparece vermelho. Detectável mesmo através de superfícies.
Quanto custa e onde encontrar
A câmera que Diego mostrou custa uns $200. Existem versões mais acessíveis que conectam direto no iPhone — a FLIR ONE é a mais conhecida. Profissionais de eletrônica também usam para detectar componentes aquecendo em placas. E caçadores usam equipamentos similares para enxergar animais à noite.
SIM swap e por que autenticação por SMS não protege ninguém
Na discussão sobre segurança, eu e Diego tocamos num assunto que afeta milhões de pessoas: o SIM swap. Não é engenharia social simples. O problema real é que existem criminosos dentro das operadoras de telefonia com acesso direto ao sistema de troca de chip.
Esses funcionários corruptos têm a senha do software, o controle para fazer a transferência do número. Não importa se você tem senha forte, não importa se você é cuidadoso. Quando o atacante está dentro da operadora, não tem o que fazer contra SMS como segundo fator.
"Se a esposa do presidente da república não tinha dois fatores ativados, como você vai cobrar da pessoa normal?" — essa foi minha resposta num podcast sobre alfabetismo digital. A realidade é que a infraestrutura de segurança da internet foi construída em cima de gambiarras. O HTTP foi feito para transferir texto. Botaram o S para criptografar. Senha. Multi-fator. E cada camada é uma gambiarra sobre a anterior.
Alternativas ao SMS como segundo fator
O que eu recomendo na prática:
- Authenticator apps — Microsoft Authenticator ou Google Authenticator. Não dependem da operadora
- YubiKey — hardware de dois fatores da Yubico. Extremamente seguro, mas se perder, perde tudo. Recomendado ter duas unidades: uma com você e uma de backup em casa
- Flipper Zero — sim, o Flipper também funciona como dispositivo de 2FA. Você conecta via USB e ele serve como chave de autenticação
Na live, eu dei uma YubiKey de presente para o Alonso e quase imediatamente ele quase perdeu. Isso ilustra o problema: a segurança máxima é complexa. Uma pessoa normal não vai andar com um dispositivo minúsculo, ter backup em casa, e guardar uma terceira cópia numa Cryptosteel Capsule que resiste a explosões e fogo até 1400°C.
"Na segurança, o limite é o dinheiro" — essa frase resume tudo. Para roubar de você, o criminoso calcula custo versus benefício. No Paraguai, fizeram um túnel de 180 metros para roubar cofres de um banco. Se o prêmio compensa, o ataque acontece. Se quiser entender mais sobre como criminosos exploram falhas de segurança, o Aulão #19 — A Nova Era dos Crimes Digitais cobre esse tema em profundidade.
C2: como funciona um servidor de comando e controle
Uma pergunta do público na live foi sobre C2 — Command and Control. Diego explicou de forma direta: é o servidor central que controla uma rede de dispositivos infectados.
Funciona assim: o atacante não manda comandos diretamente da máquina dele. Ele usa um servidor intermediário (o C2) que distribui instruções para todos os dispositivos comprometidos — IPTVs infectados, equipamentos IoT, computadores zumbis. O C2 é o "mestre" que ordena o ataque simultâneo.
Quando se fala em ataque de negação de serviço (DDoS), por exemplo, milhares de dispositivos atacam ao mesmo tempo porque receberam o comando de um único C2. O IP do atacante real está protegido atrás desse servidor, fazendo o que Diego chamou de "jump" — um salto que dificulta a rastreabilidade.
Diego trabalha com provedor de internet e conhece bem o problema: "Ataque de negação de serviço é como apanhar sem saber quem tá batendo e não conseguir bater de volta." A investigação para chegar ao controlador do C2 exige técnicas avançadas que foram abordadas na parte presencial do workshop no sábado seguinte. Quem estuda engenharia social aplicada a investigações já tem uma base para entender como esses atacantes operam.
Como o HI SPY foi programado do zero
Luã Álvaro é o desenvolvedor que escreveu cada linha de código do HI SPY — desde a primeira função até a versão em produção que milhares de pessoas usam para investigações digitais.
A tecnologia é JavaScript de ponta a ponta. Next.js no front-end com APIs integradas, Node.js no back-end. Além da aplicação principal, existe uma API privada separada que cuida exclusivamente do redirecionamento das investigações — captura de IP, geolocalização, foto do dispositivo.
"Se você parar para entender o que o HSPY faz hoje, ele não é uma ferramenta complexa", Luã admitiu. "A dificuldade foi mais condensar essa ideia e trazer isso de uma forma f��cil." Esse é o ponto: o HI SPY interpreta dados que já estão circulando na internet (toda requisição web carrega informações como IP e geolocalização) e apresenta de forma acessível para quem não é especialista em tecnologia.
Luã também comentou sobre a evolução da arquitetura web: o Next.js est�� trazendo de volta a integração front-end e back-end que existia no PHP monolítico — mas com React, TypeScript e APIs modernas. "Next.js tá bem no hype agora", ele disse. E está certo: o framework que começou como front-end React puro agora tem server components, API routes e tudo integrado. Se você quer entender mais sobre ferramentas de investigação digital, o Aulão #4 — As 7 Ferramentas que Todo Investigador Digital Precisa Conhecer é um bom ponto de partida.
Bug bounty do HI SPY
E na live, eu anunciei oficialmente o programa de bug bounty do HI SPY:
- Falha simples: R$500
- Falha grave: R$3.000
"Eu sei que você não vai quebrar a empresa, que o sistema tá seguro", eu disse para o Alonso. Mas a oferta está de pé. Para reportar, basta enviar um e-mail detalhando a falha com prova de conceito.
Dicas de produção de conteúdo para YouTube
Lucas Daleia trouxe uma perspectiva diferente — a do editor que transforma material bruto em vídeos publicáveis. O maior desafio? Ocultar informações sensíveis de investigações reais que aparecem nos vídeos. Códigos, dados pessoais, telas de ferramentas — tudo precisa ser revisado frame por frame.
Mas o momento mais revelador veio quando Diego perguntou sobre o storytelling dos vídeos do canal. Eu contei a origem: uma palestra no Dublin Tech Summit, de alguém que trabalhou com Steve Jobs na Pixar.
"As pessoas não lembram do que você falou, de como você falou. Elas lembram o que você fez ela sentir."
E essa frase mudou a forma como eu encerro vídeos. Em vez de pedir inscrição ("se inscreve, dá like, compartilha"), eu encerro com emoção — um caso real, uma reflexão, algo que tangibiliza a missão. O MrBeast faz a mesma coisa: encerrar com o vídeo sendo bom é mais efetivo do que encerrar mendigando engajamento.
Para quem quer começar a criar conteúdo, revelei meu setup: câmera na frente, Ecamm Live gravando direto no computador (sem cartão de memória), Stream Deck da Elgato para controlar pausa e atalhos. Sem equipamento caro no começo — eu adiei o YouTube por 2 anos esperando ter a câmera perfeita, até que um dia simplesmente liguei e gravei.
"O segredo é iluminação e um bom áudio." Câmera cara ajuda, mas iluminação correta transforma até celular em imagem profissional. E confesso: eu também já perdi dois canais do YouTube — um com 100 mil inscritos e outro com 80 mil. Começar do zero dói. Mas o conteúdo sempre compensa.
Ferramentas Utilizadas Neste Aulão
| Ferramenta | Finalidade | Link |
|---|---|---|
| Flipper Zero | Dispositivo multi-ferramenta para pentest: interceptação de sinais, clonagem NFC, deauth Wi-Fi, 2FA | Flipper Zero |
| HackerOne | Maior plataforma de bug bounty do mundo — conecta hackers éticos com empresas | HackerOne |
| BugHunt | Plataforma brasileira de bug bounty, referência na Am��rica Latina | BugHunt |
| Spark AR | Plataforma da Meta para criar filtros de realidade aumentada no Instagram | Spark AR |
| YubiKey | Chave de segurança hardware para autenticação de dois fatores físico | Yubico |
| FLIR ONE | Câmera térmica que conecta ao smartphone para detectar calor e câmeras escondidas | FLIR ONE |
| Cryptosteel Capsule | Cápsula de aço inoxidável para proteger chaves de criptomoeda — resiste a fogo até 1400°C | Cryptosteel |
| Next.js | Framework React full stack usado no desenvolvimento do HI SPY | Next.js |
| Ecamm Live | Software de streaming e gravação profissional para Mac | Ecamm Live |
| Elgato Stream Deck | Controlador de atalhos para streaming e produção de conteúdo | Stream Deck |
Perguntas Frequentes
O que é bug bounty e como começar?
Bug bounty é um programa onde empresas pagam hackers éticos por encontrar e reportar falhas de segurança. Para começar, cadastre-se no HackerOne ou BugHunt, estude os tipos de vulnerabilidades mais comuns (XSS, information disclosure, SQL injection) e comece por programas com escopo amplo. Não precisa ser expert — como mostrei na live, muitas falhas no ranking do HackerOne são encontradas com técnicas de Google Hacking que qualquer investigador digital conhece.
Quanto paga um programa de bug bounty?
Depende da gravidade da falha e da empresa. Falhas simples pagam de $50 a $500. Falhas graves podem pagar $10.000 a $25.000 ou mais. O Alonso recebeu $25.000 (R$130 mil na época) do Facebook por uma falha XSS no Instagram que ele próprio classificou como m��dia — o Facebook é que reclassificou como grave e pagou mais.
O Flipper Zero é realmente proibido no Brasil?
A Anatel bloqueou a importação e homologação do Flipper Zero no Brasil. Se você encontrar por menos de R$6.000, provavelmente é golpe. O Canadá também proibiu. Existe possibilidade de importação para fins de pesquisa científica ou uso institucional com autorização especial da Anatel, mas para uso pessoal comum não há caminho legal.
Como funciona uma falha XSS?
XSS (Cross-Site Scripting) é quando um atacante injeta código JavaScript malicioso numa página web legítima. Quando outra pessoa acessa essa página, o código executa no browser dela — podendo roubar cookies de sessão, redirecionar para páginas falsas ou capturar dados. A falha que Alonso encontrou nos filtros do Instagram é um exemplo clássico: o link do filtro carregava código que executava no browser de quem clicasse.
O que é SIM swap e como se proteger?
SIM swap é quando criminosos transferem seu número de telefone para outro chip. O problema não é só engenharia social — existem funcionários corruptos dentro das operadoras com acesso direto ao sistema. A proteção mais efetiva é não usar SMS como segundo fator. Use apps como Microsoft Authenticator ou Google Authenticator, ou hardware como YubiKey. Saiba mais sobre proteção digital no Aulão #9 — O Guia Definitivo para Investigar Vazamentos de Senhas.
Como funciona uma câmera infravermelha para segurança?
Câmeras infravermelhas detectam radiação térmica — tudo que emite calor aparece na tela. Câmeras espiãs geram calor ao operar, então mesmo escondidas atrás de objetos ou paredes, o ponto de aquecimento é visível. A FLIR ONE para smartphone custa a partir de $200 e conecta via USB-C ou Lightning. Também funciona para detectar problemas elétricos, vazamentos de água quente e ver pessoas no escuro.
O que é um servidor C2 (Command and Control)?
C2 é um servidor central que criminosos usam para controlar dispositivos infectados remotamente. Em ataques DDoS, por exemplo, o C2 manda comandos simultâneos para milhares de dispositivos — IPTVs, IoT, computadores comprometidos. O IP do atacante fica protegido atrás do C2, dificultando a investigação. Diego, que trabalha com provedor de internet, explicou que rastrear o controlador exige técnicas avançadas de investigação.
Qual tecnologia foi usada para criar o HI SPY?
O HI SPY foi desenvolvido inteiramente em JavaScript por Luã Álvaro. O front-end usa Next.js (framework React), o back-end roda em Node.js, e existe uma API privada separada para o serviço de redirecionamento e captura de dados de investigação. A ferramenta interpreta dados de requisições web — IP, geolocalização, informações do dispositivo — e apresenta de forma acessível para investigadores.
Referências e Recursos
- Flipper Zero — Site Oficial
- HackerOne — Plataforma de Bug Bounty
- BugHunt — Bug Bounty na América Latina
- Yubico — YubiKey Autenticaç��o Hardware
- FLIR ONE — Câmera Térmica para Smartphone
- Cryptosteel Capsule — Proteção para Chaves Cripto
- Comando e Controle (C2) — Como funciona
- O que é SIM Swap — Tecnoblog
- Next.js — Framework React Full Stack
- Ecamm Live — Streaming Profissional para Mac
- Elgato Stream Deck — Controlador de Atalhos
Conteudo Relacionado
Como Encontrar Subdomínios Escondidos: Do DNSDumpster ao Brute Force
Programação do Zero para Investigação Digital: De Variáveis a WHOIS Automatizado
A Arte de Manipular: Engenharia Social Aplicada em Investigações Digitais
