|
| Ảnh minh hoạ |
Nhiều công ty công nghệ lớn hiện nay đã phát động những chương trình "Bug Bounty" (Tặng thưởng cho những ai phát hiện ra các lỗi, các lỗ hổng bảo mật trong hệ thống cũng như phần mềm của công ty). Khoản tiền thưởng này có thể tặng cho bất cứ ai chỉ ra được lỗ hổng trong hệ thống của họ. Thậm chí, quân đội MỸ gần đây còn tung ra một chương trình Bug Bounty của riêng họ có tên "Hack the Army".
Mới đây nhất, Facebook đã trao thưởng khoản tiền thưởng lớn nhất lên đến 40.000 USD cho một nhà nghiên cứu bảo mật, người đã phát hiện ra một trục trặc trong phần mềm chỉnh sửa ảnh ImageMagick của họ. Hồi tháng 11 năm 2016, công ty cũng đã đăng tải trên Facebook rằng họ đã chi ra hơn 5 triệu USD tiền thưởng cho việc phát hiện lỗi trong vòng 5 năm qua.
Chúng ta hãy cùng điểm qua những khoản tiền thưởng lớn nhất mà các hacker đã kiếm được từ một số công ty công nghệ hàng đầu trên thế giới.
1. Facebook
Facebook đã trao thưởng 40.000 USD cho một nhà nghiên cứu bảo mật người Nga tên Andrew Leonow vì tìm ra lỗ hổng trong phần mềm chỉnh sửa ảnh ImageMagick. Các lỗi này ban đầu được phát hiện năm ngoái bởi đội ngũ bảo mật của Facebook và đã được và lại. Tuy nhiên, Leonow đã tìm thấy một lỗ hổng khác trong handywork khiến cho máy chủ của Facebook dễ bị chiếm quyền và có thể thực thi mã lệnh từ xa.
Leonov sau đó tìm ra một cách để vượt qua tường lửa của Facebook với mã số riêng của mình, và sau đó báo cáo lỗi cho các công ty. Ông được trao giải thưởng lớn nhất mà Facebook đã từng chi ra.
Trong năm 2014, Facebook đã trao thưởng cho nhà nghiên cứu an ninh người Brazil Reginaldo Silva 33.500 USD do phát hiện một lỗ hổng lớn mà có thể gây nguy hiểm cho những thông tin đăng nhập của người dùng. Lỗi này liên quan đến mã được sử dụng cho các hệ thống xác thực OpenID, cho phép người sử dụng cùng một thông tin đăng nhập trên các nền tảng khác nhau. Lỗ hổng trên sẽ cho phép tin tặc truy cập các tập tin và các kết nối mạng mở trên các máy chủ của Facebook. Hiện nay, Silva làm việc như một kỹ sư tại Facebook.
2. Instagram
Tháng 3 năm 2016, Facebook trao cho một cậu bé Lan 10 tuổi phần thưởng 10.000 USD vì đã phát hiện ra một điểm yếu trong ứng dụng chia sẻ hình ảnh của Instagram. Cậu bé chỉ lộ danh tính ở tên đầu tiên "Jani" là người trẻ tuổi nhất từng nhận được tiền thưởng từ gã khổng lồ truyền thông xã hội. Thực tế là "Jani" còn quá trẻ để thậm chí được quyền sở hữu riêng các tài khoản Facebook hoặc Instagram của mình.
 |
Jani đã tự học lập trình từ các video trên YouTube, cậu bé đã phát hiện ra một cách để xóa bình luận của người dùng từ tài khoản Instagram. Từ đó, cậu bé nghĩ đến tình huống phần bình luận của Instagram có thể bị xâm nhập bởi các mã độc, tuy nhiên, để làm được điều đó hóa ra khó hơn tưởng tượng của Jani.
3. Vine
Trong năm 2016, một nhà nghiên cứu bảo mật với bí danh "avicoder" đã phát hiện ra toàn bộ mã nguồn hiện nay không còn tồn tại của Vine. Đây chính là xương sống bí mật của chương trình này. Ứng dụng Vine lần đầu tiên ra mắt vào tháng 1 năm 2013 cho phép người dùng tạo ra những đoạn clip động dưới dạng stop-motion trong khoảng thời gian 6 giây.
 |
Sau lỗ hổng được phát hiện, may mắn thay, avicoder báo cáo phát hiện của mình lên Twitter, lỗ hổng này đã ngay lập tức được sửa chữa và "anh ta" cũng có thể là "cô ta" đã được trả 10.080 USD.
4. Microsoft
Trong năm 2013, Microsoft đã trả James Forshaw, một nhà nghiên cứu lỗ hổng bảo mật 100,000 USD cho việc tìm kiếm một lỗi trong phiên bản Preview của hệ điều hành Windows 8.1. Forshaw phát hiện ra một kỹ thuật đã giúp ông vượt qua được những bức tường bảo vệ của phần mềm.
 |
Đây không phải là lần đầu tiên Microsoft trả thưởng cho những người phát hiện lỗ hổng trong hệ thống của mình. Trong vài năm qua, công ty đã tổ chức sôi nổi các cuộc thi với giải thưởng tiền mặt cho những người tìm lỗi và đưa ra giải pháp để khắc phục chúng. Trong năm 2012, Vasilis Pappas, một nghiên cứu sinh tại Đại học Columbia vào thời điểm đó, đã giành phần thưởng 200.000 USD trong cuộc thi an ninh Blue Hat của công ty.
5. Google
Google đã có một chương trình Bug Bounty từ năm 2010. Năm 2015, công ty đã tổ chức một cuộc thi Pwnium với giải thưởng cung cấp tiền mặt hàng năm cho những người tìm thấy lỗ hổng trong các sản phẩm của mình. Hôm nay, cũng như nhiều công ty công nghệ khác, Google đã chuyển sang một chương trình phần thưởng cả năm để thay thế. Và Stephan Somogyi, giám đốc sản phẩm an ninh và bảo mật tại Google cho biết công ty đã chi ra hơn 2 triệu USD cho hơn 300 nhà nghiên cứu bảo mật trong việc tìm kiếm lỗi.
 |
Năm 2015, nhà nghiên cứu an ninh Peter Pi đã được công nhận là nhà nghiên cứu hàng đầu cho các lỗ hổng Android, phát hiện hơn 26 lỗi và được thưởng 75.750 USD cho những nỗ lực của mình.
Cùng năm đó, chuyên gia nghiên cứu bảo mật Joshua Drake đã được tưởng thưởng hơn 50.000 USD vì phát hiện ra một số lỗi Stagefright, đây là lỗi Android cho phép tin tặc kiểm soát các thiết bị của người sử dụng từ xa.
Theo Xã hội Thông tin
