Caçador de bug bounty.

Investigador de segurança independente que descobre e reporta vulnerabilidades a fabricantes através de programas de bug bounty ou divulgação coordenada, em troca de recompensas financeiras e reconhecimento. Pertence à categoria Funções e carreiras da cibersegurança.

Investigador de segurança independente que descobre e reporta vulnerabilidades a fabricantes através de programas de bug bounty ou divulgação coordenada, em troca de recompensas financeiras e reconhecimento.

Um caçador de bug bounty é um investigador de segurança independente que encontra vulnerabilidades em alvos com âmbito definido e as reporta através de programas de bug bounty (HackerOne, Bugcrowd, Intigriti, YesWeHack ou programas internos) ou canais de divulgação coordenada. O rendimento é por bug e fortemente concentrado nos achados críticos: os melhores investigadores recebem pagamentos anuais de seis ou sete dígitos e prémios em eventos de live hacking. A maioria opera como freelancer a tempo inteiro ou em paralelo com um emprego em segurança ofensiva e muitos transitam depois para pentest empresarial ou funções de AppSec em fabricantes. Não há percurso fixo — a reputação constrói-se com um fluxo público de relatórios válidos, atribuições de CVE e writeups. O rigor no âmbito, no safe harbor, na deduplicação e na qualidade dos relatórios é crítico para manter rendimentos.

As defesas contra Caçador de bug bounty costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Nomes alternativos comuns: Bug hunter, Caçador de recompensas (segurança).