Hackerone

O fundador do curl, Daniel Stenberg, anunciou que o projeto não participará mais do programa de recompensas por bugs da HackerOne, devido ao aumento de relatos de vulnerabilidades de baixa qualidade, muitos dos quais foram gerados por inteligência artificial. Essa decisão, que entra em vigor em 1º de fevereiro de 2026, foi motivada pela pressão sobre a pequena equipe do curl, que enfrentou um aumento significativo de relatos inválidos, afetando sua saúde mental. O curl, uma ferramenta de linha de comando amplamente utilizada para transferência de dados, tinha um programa de recompensas ativo desde 2019, mas a qualidade dos relatos se deteriorou, com Stenberg relatando que, em uma semana, foram recebidos sete relatos, todos sem identificação de vulnerabilidades reais. A partir de agora, os relatos serão aceitos apenas através do GitHub, e aqueles que enviarem informações irrelevantes poderão ser banidos e expostos publicamente. Essa mudança reflete um desafio crescente na cibersegurança, onde a automação e a IA estão impactando a qualidade das informações recebidas por projetos de segurança.

O projeto curl, uma popular ferramenta de linha de comando para transferência de dados, anunciou o fim de seu programa de recompensas por vulnerabilidades na HackerOne, a partir do final deste mês. A decisão foi motivada pelo aumento de relatórios de baixa qualidade, muitos dos quais gerados por inteligência artificial, que sobrecarregaram a equipe de segurança do projeto. Daniel Stenberg, fundador e desenvolvedor principal do curl, destacou que, até o final de janeiro de 2026, ainda serão aceitas submissões, mas a partir de fevereiro, os pesquisadores deverão relatar problemas de segurança diretamente pelo GitHub. O projeto não oferecerá mais recompensas financeiras e advertiu que relatórios considerados de baixa qualidade resultarão em banimento e ridicularização pública. Essa mudança reflete uma preocupação com a saúde mental da equipe e a necessidade de manter a eficiência do projeto, que é mantido por um número limitado de colaboradores. Stenberg também observou um aumento significativo nas submissões de vulnerabilidades em comparação com outros projetos de código aberto, o que reforça a urgência da decisão.

A HackerOne confirmou que seu ambiente Salesforce foi comprometido após hackers explorarem uma vulnerabilidade no aplicativo Drift, fornecido pela Salesloft. O incidente foi inicialmente sinalizado pela Salesforce em 22 de agosto e confirmado pela Salesloft no dia seguinte, afetando um subconjunto de registros dentro do ambiente da HackerOne. A empresa assegurou que controles rigorosos de segmentação impediram a exposição de dados sensíveis de vulnerabilidades dos clientes. A equipe de segurança da HackerOne ativou imediatamente os protocolos de resposta a incidentes, colaborando com a Salesforce e a Salesloft para conter a intrusão e isolar a integração comprometida. A investigação preliminar revelou que os atacantes exploraram uma falha desconhecida no mecanismo de autenticação do Drift, permitindo o sequestro de sessões e acesso a dados adjacentes no CRM. Embora registros básicos de conta e informações de contato tenham sido expostos, dados críticos como códigos proprietários e relatórios de vulnerabilidade não foram afetados. A HackerOne está auditando todas as integrações existentes e implementou verificações adicionais para mitigar riscos futuros. Clientes afetados serão notificados diretamente, e um relatório detalhado do incidente será publicado após a conclusão da investigação.