Xem nhanh
Nhiều tổ chức không tiếc tiền treo thưởng cho các hacker mũ trắng để tìm ra những lỗ hổng hệ thống, trong đó có các tên tuổi lớn như Google, Facebook, Microsoft.
Nhiều công ty công nghệ lớn đã phát động những chương trình “Bug Bounty”, đây là chương trình treo thưởng cho những người đã phát hiện ra lỗi, lỗ hổng bảo mật trong hệ thống cũng như phần mềm của họ. Thậm chí, quân đội Mỹ gần đây còn tung ra một chương trình Bug Bounty của riêng họ có tên “Hack the Army”.
Và thực tế, các hacker mũ trắng đã tham gia tìm lỗi rất nhiệt tình, cũng như gặt hái được những món tiền không hề nhỏ. Dưới đây là thống kê số tiền lớn nhất mà các hãng đã từng chi cho hacker để tìm ra lỗi bảo mật.
1. Facebook – 40.000 USD
Vào ngày 28/10/2016, Facebook đã trao thưởng cho Andrew Leonov – một chuyên gia an ninh người Nga số tiền lên đến 40.000 USD vì đã tìm ra lỗ hổng trong phần mềm chỉnh sửa ảnh ImageMagick. Lỗ hổng bảo mật này được phát hiện từ cuối tháng 4/2016 bởi đội ngũ bảo mật của Facebook và đã được vá lại. Tuy nhiên, Leonov đã tìm thấy một lỗ hổng khác khiến cho máy chủ của Facebook dễ bị chiếm quyền và có thể thực thi mã lệnh từ xa.
Leonov sau đó tìm ra cách để vượt qua tường lửa của Facebook với mã số riêng của mình rồi báo cáo lỗi cho hãng. Ông được trao giải thưởng lớn nhất mà Facebook đã từng chi ra.
Trong năm 2014, Facebook cũng đã trao thưởng cho nhà nghiên cứu an ninh người Brazil Reginaldo Silva số tiền 33.500 USD cho việc phát hiện một lỗ hổng lớn mà có thể gây nguy hiểm cho những thông tin đăng nhập của người dùng. Lỗi này liên quan đến mã được sử dụng cho các hệ thống xác thực OpenID, cho phép người sử dụng cùng một thông tin đăng nhập trên các nền tảng khác nhau.
Lỗ hổng trên sẽ cho phép tin tặc truy cập các tập tin và các kết nối mạng mở trên các máy chủ của Facebook. Hiện nay, Silva đang là kỹ sư tại Facebook.
2. Instagram – 10.000 USD
Jani, một cậu bé 10 tuổi sống ở Phần Lan đã hack thành công vào Instagram – ứng dụng chia sẻ ảnh và video thuộc sở hữu của Facebook. Phát hiện lỗ hỏng này, Jani đã báo với Facebook và nhận được khoản tiền thưởng 10.000 USD từ mạng xã hội hình ảnh và video cho smartphone này.
Thực tế là Jani còn quá trẻ để thậm chí được quyền sở hữu riêng các tài khoản Facebook hoặc Instagram của mình. Jani đã tự học lập trình từ các video trên YouTube, hacker nhí này đã phát hiện ra một cách để xóa bình luận của người dùng từ tài khoản Instagram.
3. Vine – 10.080 USD
Trong năm 2016, một nhà nghiên cứu bảo mật với bí danh “avicoder” đã phát hiện ra toàn bộ mã nguồn xương sống của mạng video hiện không còn tồn tại của Vine. Ứng dụng Vine lần đầu tiên ra mắt vào tháng 1 năm 2013 cho phép người dùng tạo ra những đoạn clip động dưới dạng stop-motion trong khoảng thời gian 6 giây.
Sau lỗ hổng được phát hiện, avicoder báo cáo phát hiện của mình lên Twitter, lỗ hổng này đã ngay lập tức được sửa chữa và anh ta (cũng có thể là cô ta) đã được trả 10.080 USD.
4. Microsoft – 100.000 USD
Hồi tháng 10/2013, Microsoft đã trả James Forshaw, một nhà nghiên cứu lỗ hổng bảo mật đến từ hãng Context Information Security số tiền đến 100.000 USD vì có công trong việc tìm kiếm một lỗi trong phiên bản Preview của hệ điều hành Windows 8.1. Hacker mũ trắng này đã phát hiện ra một kỹ thuật đã giúp ông vượt qua được những bức tường bảo vệ của phần mềm.
Đây không phải là lần đầu tiên Microsoft trả thưởng cho những người phát hiện lỗ hổng trong hệ thống của mình. Trong vài năm qua, công ty đã tổ chức các cuộc thi với giải thưởng tiền mặt cho những người tìm lỗi và đưa ra giải pháp để khắc phục chúng. Trong năm 2012, Vasilis Pappas, một nghiên cứu sinh tại Đại học Columbia vào thời điểm đó, đã giành phần thưởng 200.000 USD trong cuộc thi an ninh Blue Hat của công ty.
5. Google – 75.750 USD
Google đã có một chương trình Bug Bounty từ năm 2010. Năm 2015, công ty đã tổ chức một cuộc thi Pwnium với giải thưởng cung cấp tiền mặt hàng năm cho những người tìm thấy lỗ hổng trong các sản phẩm của hãng. Hôm nay, cũng như nhiều công ty công nghệ khác, Google đã chuyển sang một chương trình phần thưởng cả năm để thay thế.
Stephan Somogyi, giám đốc sản phẩm an ninh và bảo mật tại Google cho biết công ty đã chi ra hơn 2 triệu USD cho hơn 300 nhà nghiên cứu bảo mật trong việc tìm kiếm lỗi.
Năm 2015, nhà nghiên cứu an ninh Peter Pi đã được công nhận là nhà nghiên cứu hàng đầu cho các lỗ hổng Android, phát hiện hơn 26 lỗi và được thưởng 75.750 USD cho những nỗ lực của mình.
Cùng năm đó, chuyên gia nghiên cứu bảo mật Joshua Drake đã được tưởng thưởng hơn 50.000 USD vì phát hiện ra một số lỗi Stagefright, đây là lỗi Android cho phép tin tặc kiểm soát các thiết bị của người sử dụng từ xa.
Tham khảo: Entrepreneur.