PwC: “Se quero capitalizar em bug bounty, não convém que a minha prova de conceito esteja pública” (com vídeo)

Encontrar vulnerabilidades em plugins do WordPress pode parecer uma tarefa rotineira, mas Miguel Santareno mostrou que há muito mais por trás dessa prática. No palco das Technical Tracks da IT Security Conference 2025, o Lead de Offensive Security da PwC desmontou, passo a passo, o processo de identificação e exploração de zero days, falhas que escapam ao radar dos fabricantes, e a forma como podem ser monetizadas de forma ética.

O caso prático apresentado focou-se no plugin EventOn e da falha “unauthenticated event access”, que permitia aceder a eventos privados e com palavra‑passe apenas manipulando o Event ID. “Eu criava eventos do meu lado e, de forma não autenticada, conseguia aceder a todos os tipos de eventos, mesmo os que não deviam estar disponíveis”, explica.

Ao detetar a vulnerabilidade, Miguel Santareno acaba por reportá-la através do WordFence, para não tornar pública a prova de conceito. Segundo o responsável, “se quero capitalizar em bug bounty, não convém que a minha prova de conceito esteja acessível a todos. Caso contrário, o exploit que desenvolvi perde valor”. Por isso, evitou usar o WPScan, que publica automaticamente a prova de conceito e anula qualquer possibilidade de recompensa.

Miguel Santareno sublinhou que “ao reportar de forma controlada, garantimos que o fabricante corrige a falha e que o investigador é justamente reconhecido”. A vulnerabilidade do EventOn foi corrigida na versão 2.1.2.9.6.2023 (CVSS 5.3).

Em seguida mostrou métodos para encontrar alvos, como o Google Dorking, o publicwww e o Wappalyzer, e como automatizar testes (Burp Suite + Intruder) para brute force. “É uma questão de perceber onde estão os pontos fracos e testá-los com inteligência”, resume.