Facebook vừa thông báo sẽ tăng cường các biện pháp bảo mật và bảo vệ quyền riêng tư hơn bằng cách mở rộng chương trình săn tiền thưởng lỗi cho những lỗ hổng hiếm gặp.
Bên cạnh đó, công ty cũng sẽ cung cấp cho các chuyên gia bảo mật nhiều cách để tìm và báo cáo lỗ hổng trong ứng dụng và trang web bên thứ ba. Dan Gurfinkel – Giám đốc bảo mật kỹ thuật của Facebook – cho biết từ bây giờ, các nhà nghiên cứu sẽ không còn bị giới hạn trong việc “quan sát thụ động lỗ hổng bảo mật” nữa.
Giờ đây, các thợ săn tiền thưởng lỗi có thể chủ động kiểm tra những vấn đề bảo mật trong ứng dụng bên thứ ba nếu được nhà phát triển ủy quyền. Phương án này nhằm tìm những lỗ hổng thông qua quan sát lưu lượng truy cập từ ứng dụng của bên thứ ba.
“Thay đổi này sẽ giúp tăng đáng kể phạm vi nghiên cứu bảo mật mà cộng đồng săn tiền thưởng từ lỗi có thể chia sẻ với chúng tôi, đồng thời tăng khả năng được thưởng khi tìm thấy lỗ hổng tiềm năng trong ứng dụng và cả trang web ngoài”, Gurfinkel nói.
Phần thưởng sẽ được trao dựa trên mức độ nghiêm trọng của lỗ hổng, tối thiểu 500 USD. Các nhà nghiên cứu cần cung cấp bằng chứng ứng dụng bên thứ ba cho phép thực hiện những thử nghiệm đó để nhận tiền thưởng.
Facebook lần đầu công bố chương trình săn tiền thưởng lỗi cho các ứng dụng bên thứ ba hồi tháng 9/2018, với mục đích kiểm soát cách dữ liệu cá nhân của người dùng bị rò rỉ bởi một số nhà phát triển ứng dụng vô trách nhiệm.
Các ứng dụng bên thứ ba là nguyên nhân chính dẫn đến những vụ bê bối dữ liệu của Facebook, nổi bật là sự cố Cambridge Analytica năm 2018. Nhiều nhà phát triển đã thu thập dữ liệu và cung cấp cho những nhà nghiên cứu tại Cambridge Analytica. Hành động này đe dọa quyền riêng tư của người dùng và có mục đích can thiệp chính trị.
Hồi tháng Tư, các nhà nghiên cứu bảo mật đã tìm thấy một cơ sở dữ liệu công khai hồ sơ hàng triệu tài khoản Facebook. Toàn bộ thông tin người dùng được thu thập bởi một công ty truyền thông có ứng dụng liên kết với mạng xã hội này. Tháng Ba năm ngoái, Facebook bắt đầu mở rộng chương trình tiền thưởng lỗi và xem ứng dụng lạm dụng dữ liệu thuộc lỗ hổng bảo mật.
Facebook vẫn có đội ngũ chuyên gia bảo mật riêng, chuyên tìm kiếm những ứng dụng đánh cắp dữ liệu. Tuy nhiên chương trình săn tiền thưởng lỗi sẽ mở ra nhiều cơ hội truy tìm lỗ hổng bảo mật hơn. Các chương trình tương tự đang trở thành xu hướng trong ngành an ninh mạng. Nhiều công ty lớn, trong đó có Apple, sẵn sàng chi tới 1 triệu USD cho một số vụ hack tinh vi. Các nhà nghiên cứu bảo mật độc lập luôn tìm kiếm những lỗ hổng mà tin tặc có thể sử dụng, sau đó thông báo cho công ty để nhận tiền thưởng, thay vì sử dụng lỗ hổng đó cho mục đích xấu.
Thông thường, lỗ hổng càng hiếm gặp tiền thưởng càng cao. Facebook vừa tuyên bố tăng tiền thưởng cho các lỗi mã nguồn tự nhiên (native code bugs). Những lỗ hổng này đặc biệt khó tìm vì ẩn sâu trong dịch vụ.
Các nhà nghiên cứu tìm và báo cáo lỗ hổng không nhấp chuột (zero-click flaw) cho Facebook Messenger trên iOS sẽ nhận được toàn bộ tiền thưởng lỗi, kèm theo phần thưởng thêm trị giá 15.000 USD nếu họ có thể cung cấp bằng chứng về lỗ hổng đó. Lỗi không nhấp chuột rất hiếm vì không yêu cầu nạn nhân tương tác.
Ngoài ra, Facebook còn cho biết sẽ mang phần cứng tới sự kiện Pwn2Own Tokyo – hội nghị tin tặc sẽ diễn ra vào tháng 11 tại Nhật Bản. Những hãng công nghệ thường mang sản phẩm của mình tới dự kiện này để các chuyên gia tìm lỗ hổng trong đó. Hồi tháng Ba, Tesla đã mang một chiếc xe đến sự kiện Pwn2Own Vancouver ở Canada. Tin tặc đã hack thành công và nhận được phần thưởng gồm chiếc xe cùng tiền mặt trị giá 35.000 USD.
Lần này, Facebook treo thưởng 60.000 USD nếu hack thành công thiết bị Portal và 40.000 USD cho các lỗi bảo mật trong kính thực tế ảo Oculus Quest.
Theo Cnet