Bạn có thể chuyển sang phiên bản mobile rút gọn của Zing News nếu mạng chậm. Đóng
M

Nghề săn tiền thưởng trong giới bảo mật

Trong giới bảo mật, không ít hacker từng thành danh với vai trò hacker "mũ trắng" chuyên săn lỗ hổng để kiếm tiền thưởng.

Internet là môi trường vô cùng phức tạp. Nhiều hãng công nghệ đã không tiếc tiền treo thưởng cho những ai tìm được lỗ hổng bảo mật trong chính sản phẩm và website của mình. Chẳng hạn như Google, chỉ tính riêng trong năm 2015, hãng đã bỏ ra 2,8 triệu USD cho chương trình tìm kiếm lỗ hổng với mức thưởng cao nhất lên tới 37.000 USD/lỗ hổng.

Nghe san tien thuong trong gioi bao mat hinh anh 1

Trong khi đó, Facebook cũng duy trì chương trình tương tự. Hãng này từng thưởng 15.000 USD cho một hacker vì có công phát hiện lỗ hổng trong cơ chế bảo mật tài khoản người dùng. Tính từ năm 2011 tới nay, Facebook đã trả thưởng 4,3 triệu USD cho hơn 800 nhà nghiên cứu bảo mật có công phát hiện lỗ hổng trên trang mạng xã hội này.

Còn "đại gia" công nghệ Microsoft tham gia chương trình trả thưởng lỗ hổng từ năm 2013 với mức thưởng cực "khủng" có thể lên tới 100.000USD. Mức thưởng này áp dụng với lỗ hổng cực kỳ nghiêm trọng trong hệ điều hành Windows 10 mới nhất. Tất nhiên, danh sách sản phẩm khác của Microsoft còn rất dài và các tay săn tiền thưởng có thể kiếm từ 5.000USD tới 15.000USD hay thậm chí 50.000USD cho một lỗ hổng.

Nghe san tien thuong trong gioi bao mat hinh anh 2

Thậm chí một tên tuổi rất mới trong lĩnh vực dính dáng tới công nghệ là Uber cũng tham gia chương trình trả thưởng lỗ hổng. Mức thưởng dao động từ 5.000 USD tới 15.000 USD cho những ai phát hiện lỗ hổng trên trang chủ và máy chủ chính của Uber.

"Mùa săn bắn" HackerOne

Nhờ chương trình săn thưởng HackerOne mà các tay hacker đã có thêm một công việc "lương thiện" khác, vừa mài rũa nâng cao kỹ năng vừa kiếm được khoản tiền kha khá mà quan trọng là không lo bị bắt hoặc bị trừng phạt như trước đây.

Thực ra, chương trình săn thưởng kiểu này đã có từ năm 1995 do Netscape khởi xướng, nhưng chỉ vài năm trở lại đây nó mới trở nên thông dụng. Sở dĩ phải mất thời gian lâu như thế là bởi khó phân địch rạch ròi giữa hacker "mũ trắng" và hacker "mũ đen". Tuy nhiên, với quy trình rõ ràng như hiện nay thì ranh giới này dần trở nên sáng tỏ.

Nghe san tien thuong trong gioi bao mat hinh anh 3

HackerOne đang vận hành rất nhiều chương trình săn thưởng cho nhiều công ty lớn như Yahoo, Twitter, Google, Facebook, Microsoft… Chủ nhân của sáng kiến này là Michiel Prins và Jobert Abma, vốn lớn lên cùng nhau từ thuở bé. Năm 2011, bộ đôi này đi đến một quyết định táo bạo. Họ lập ra danh sách 100 công ty công nghệ và hack lần lượt vào từng công ty một, mỗi công ty chỉ mất chừng 15 phút là "giải quyết" xong.

Sau đó, Michiel Prins và Jobert Abma khăn gói cho chuyến đi tới Thung lũng Silicon để tiếp cận các công ty có trong danh sách. Các công ty này rất sốc nhưng thật không dễ lắng nghe ý kiến trái chiều, nhất là từ hai tay "mơ" này. Chỉ có 1/3 các công ty quay lại "cám ơn" Michiel Prins và Jobert Abma. Phần còn lại không thèm liên hệ và thậm chí còn dọa kiện ngược lại.

Tuy vậy, có được khởi đầu như thế cũng không hề với HackerOne. Mọi việc sau đó tiến triển tốt hơn. Tính tới ngày 20/1/2016, HackerOne đã phát hiện và khắc phục được 17.000 lỗ hổng và trả thưởng cho hacker "mũ trắng" tham gia vào chương trình tới 5,84 triệu USD. Đây vẫn là số tiền khá khiêm tốn nếu so với quy mô 75 tỉ USD của ngành công nghiệp an ninh mạng hiện nay.

Nghe san tien thuong trong gioi bao mat hinh anh 4

Nghề săn tiền thưởng lỗ hổng bảo mật vì thế vẫn còn rất nhiều "đất" phát triển. 94% trong tổng số 2.000 công ty lớn nhất thế giới theo xếp hạng của Forbes hiện vẫn chưa có cách thức báo cáo lỗ hổng an ninh hiệu quả. Và đây chính là "mỏ vàng" mà hacker "mũ trắng" có thể khai thác lâu dài.

Các tay săn tiền thưởng cộm cán

1. Roy Castillo: Chính haker này đã tìm ra lỗi bảo mật XSS trong ứng dụng Gmail trên iOS. Ngoài ra, Roy Castillo còn báo cho Facebook lỗi làm lộ địa chỉ e-mail chính của người dùng.

Nghe san tien thuong trong gioi bao mat hinh anh 5

2. Frans Rosén: Từng được thưởng 1.000 Euro vì có công phát hiện lỗ hổng XSS trong Mega, hiện Frans Rosén đang đứng thứ 2 trong danh sách các nhân vật săn tiền thưởng nổi bật của Hackerone.

Nghe san tien thuong trong gioi bao mat hinh anh 6

3. Nir Goldshlager: Chính hacker này đã vượt qua cơ chế tường lửa ứng dụng Web Imperva nổi tiếng bằng phương pháp tiếp cận độc đáp. Năm 2012, Nir được xếp đầu danh sách danh dự Whitehat Hall of Fame của Facebook.

Nghe san tien thuong trong gioi bao mat hinh anh 7

4. Emily Stark: Hiện đang là kỹ sư làm việc tại Nhóm bảo mật Chrome của Google. Trước khi gia nhập Google, Emily Stark từng là nhà phát triển chính của Meteor, một framework ứng dụng JavaScript nổi tiếng.

Nghe san tien thuong trong gioi bao mat hinh anh 8

5. Neal Poole: Là kỹ sư bảo mật của Facebook, hiện Neal Poole đang làm cho nhóm Bảo mật Sản phẩm, từng rất nổi tiếng vì có công phát hiện hàng chục lỗi bảo mật trên Facebook. Hiện Neal đang là thành viên của Facebook Whitehat Hall of Fame và đã nhiều lần tìm thấy lỗ hổng trong sản phẩm Google và Mozilla.

Nghe san tien thuong trong gioi bao mat hinh anh 9

6. Mazin Ahmed: Từng phát hiện các lỗ hổng Multiple CSRF trong ứng dụng Facebook Messenger nhưng thành tựu lớn nhất của Mazin Ahmed phải kể tới công phát hiện lỗ hổng W3 Total Cache cực kỳ nghiêm trọng.

Nghe san tien thuong trong gioi bao mat hinh anh 10

7. Mohamed Ramadan: Hacker này đã phát hiện ra lỗ hổng trong ứng dụng Facebook Camera trên iOS, từng cho phép kẻ tấn công có thể xâm nhập vào thiết bị của nạn nhân. Mohamed Ramadan cũng là tác giả của một loạt phát hiện lỗ hổng trong sản phẩm Google, Facebook, Twitter, Microsoft, và Apple.

Nghe san tien thuong trong gioi bao mat hinh anh 11

8. Shubham Shah: Ở tuổi 16, hacker này đã có thể qua mặt cơ chế định danh 2 bước của Google, Yahoo và nhiều hãng công nghệ khác. Shah ghi tên mình lên bức tường danh dự Whitehat Hall of Fame tại PayPal. Hiện Shah đang là nhà nghiên cứu bảo mật của Bishop Fox.

Nghe san tien thuong trong gioi bao mat hinh anh 12

9. Rafay Baloch: Có công phát hiện lỗ hổng thực thi mã từ xa trong PayPal, Baloch từng được trả thưởng 10.000USD. Hacker này còn phát hiện ra lỗ hổng giả mạo thanh trình duyệt hiển thị thông tin chứng khoán trong hệ điều hành di động Android.

Nghe san tien thuong trong gioi bao mat hinh anh 13

10. Bitquark: Từng xếp số 1 trong danh sách các tay săn lỗ hổng, Bitquark hiện đang điều hành trang web tìm kiếm lỗ hổng http://bitquark.co.uk và trang blog riêng. Hacker này từng được Google thưởng 13.000USD vì có công phát hiện lỗ hổng trong Google Sites.

  • Uber

    Uber

    Uber là một công ty kinh doanh mạng lưới giao thông vận tải và công ty taxi dựa trên ứng dụng di động có trụ sở tại Mỹ và hoạt động tại các thành phố ở nhiều nước. Công ty sử dụng ứng dụng điện thoại thông minh để nhận được yêu cầu đi xe, và sau đó sẽ gửi các yêu cầu đi đến lái xe. Khách hàng sử dụng các ứng dụng yêu cầu xe đón và theo dõi vị trí chiếc xe dành riêng của mình. Uber được cho là công ty tiên phong của nền kinh tế chia sẻ.

    Bạn có biết: Tên "Uber" bắt nguồn từ chữ phổ biến và là tiến lóng "uber", có nghĩa là "cao nhất" hoặc "siêu". Từ ngày có nguồn gốc từ tiếng Đức, "über", có nghĩa là "ở trên".

    • Thành lập: 3/2009
    • Người sáng lập: Travis Kalanick, Garrett Camp
    • Trụ sở: San Francisco, California (Mỹ)

Gia Nguyễn

Bình luận

Bạn có thể quan tâm

Uber An toàn thông tin Công nghệ