Hacker kiếm hàng trăm nghìn USD nhờ săn lỗi bảo mật
Khác với những hạcker “mũ đen” chuyên đột nhập vào các hệ thống tài chính để trộm tiền, hacker “mũ trắng” làm giàu nhờ nghề tìm ra các lỗi bảo mật nghiêm trọng.
“Tôi biết có anh chàng đang thực hiện mục tiêu kiếm 500.000 USD trong năm nay. Anh ấy hoàn toàn có thể làm được” Jobert Abma, đồng sáng lập công ty startup HackerOne, nói với Business Insider.
Jobert Abma hiện 25 tuổi, đồng sáng lập HackerOne. Abma và bạn thân, Michiel Prins đã cùng nhau xâm nhập các hệ thống máy tính từ khi họ còn ngồi trên ghế nhà trường. Khi học tại đại học Henz ở Hà Lan, Abma và Prins đã phát hiện ra lỗ hổng trong phần mềm quản lý điểm số của sinh viên và ngay lập tức cả 2 đã được nhà trường thuê với công việc tìm ra những lỗ hổng mới trong phần mềm để khắc phục.
Jobert Abma, đồng sáng lập công ty chuyên săn tiền thưởng bằng nghề hack tại Mỹ. Ảnh: BusinessInsider.
“Chúng tôi kiếm được nhiều tiền từ hợp đồng làm việc với nhà trường và có tiền trả học phí. Chúng tôi vừa đi học và vừa làm việc tại trường đại học của mình”, Abma chia sẻ.
Được sự ủng hộ từ gia đình, Jobert Abma và Michiel Prins thành lập công ty của riêng mình. Cả hai thường xâm nhập vào hệ thống của khách hàng để chỉ cho họ thấy lỗ hổng bảo mật. Từ đó đưa ra những giải pháp và giúp khách hàng giải quyết vấn đề. Từ đó, công ty này nhận được nhiều hợp đồng từ các ngân hàng, công ty bảo hiểm lớn.
“Thời gian đó thật hào hứng, chúng tôi chỉ 20 tuổi nhưng đã kiếm được gần 10.000 USD mỗi tuần, đó là khoản tiền rất lớn đối với sinh viên đại học”Abma nói.
Sau đó, Abma và Prins đã tìm đến San Francisco, cùng với Merijn Terheggen và Alex Rice – cựu trưởng phòng An ninh bảo mật ở Facebook. Bộ tứ này cùng sáng lập nên HackerOne. Đây là website mà các công ty có thể yêu cầu các hacker tấn công vào mình để tìm các lỗ hổng an ninh và trả phí dựa trên mức độ nghiêm trọng được phát hiện.
Theo Business Insider, ý tưởng của HackerOne là treo thưởng cho mỗi lỗ hổng để các “ hacker mũ trắng” có thể tìm ra những lỗ hổng đó trước khi các “hacker mũ đen” tìm ra.
Trước khi có HackerOne, ý tưởng này cũng được rất nhiều công ty công nghệ như Facebook, Google, Microsoft, Yahoo, … áp dụng để phát hiện ra lỗ hổng và vá chúng.
Từ khi thành lập vào năm 2012, HackerOne đã giúp phát hiện 21.000 lỗi bảo mật khác nhau và tiền thưởng thu được lên tới 7 triệu USD vào thời điểm đó.
Các hacker của HackerOne chỉ tốn khoản 12 tuần để kiếm ít nhất 1 triệu USD tiền thưởng từ việc săn “bug” trong các phần mềm. Riêng với Jobert Abma, số liệu thống kê cho thấy trung bình anh kiếm được 4.000 USD với mỗi bug tìm được và tiền thưởng lớn nhất anh từng được nhận là 30.000 USD.
Tuy nhiên theo Abma, việc làm hacker săn tiền thưởng chỉ là nghề tay trái để có thêm thu nhập của các lập trình viên hay kỹ sư phần mềm. Công việc này đã mang lại cho anh 80.000 USD trong 8 tháng qua.
Video đang HOT
Việc phát hiện được lỗ hổng cực kỳ nghiêm trọng có thể mang lại số tiền rất lớn. Goolge từng thưởng tới 20.000 USD cho những lổ hổng bảo mật dạng này. Abma cho biết đã đặt ra mục tiêu kiếm được 100.000 USD (gần 2,2 tỷ đồng) trong năm nay.
Hoàng Vinh
Theo Zing
Nghề săn tiền thưởng trong giới bảo mật
Trong giới bảo mật, không ít hacker từng thành danh với vai trò hacker "mũ trắng" chuyên săn lỗ hổng để kiếm tiền thưởng.
Internet là môi trường vô cùng phức tạp. Nhiều hãng công nghệ đã không tiếc tiền treo thưởng cho những ai tìm được lỗ hổng bảo mật trong chính sản phẩm và website của mình. Chẳng hạn như Google, chỉ tính riêng trong năm 2015, hãng đã bỏ ra 2,8 triệu USD cho chương trình tìm kiếm lỗ hổng với mức thưởng cao nhất lên tới 37.000 USD/lỗ hổng.
Trong khi đó, Facebook cũng duy trì chương trình tương tự. Hãng này từng thưởng 15.000 USD cho một hacker vì có công phát hiện lỗ hổng trong cơ chế bảo mật tài khoản người dùng. Tính từ năm 2011 tới nay, Facebook đã trả thưởng 4,3 triệu USD cho hơn 800 nhà nghiên cứu bảo mật có công phát hiện lỗ hổng trên trang mạng xã hội này.
Còn "đại gia" công nghệ Microsoft tham gia chương trình trả thưởng lỗ hổng từ năm 2013 với mức thưởng cực "khủng" có thể lên tới 100.000USD. Mức thưởng này áp dụng với lỗ hổng cực kỳ nghiêm trọng trong hệ điều hành Windows 10 mới nhất. Tất nhiên, danh sách sản phẩm khác của Microsoft còn rất dài và các tay săn tiền thưởng có thể kiếm từ 5.000USD tới 15.000USD hay thậm chí 50.000USD cho một lỗ hổng.
Thậm chí một tên tuổi rất mới trong lĩnh vực dính dáng tới công nghệ là Uber cũng tham gia chương trình trả thưởng lỗ hổng. Mức thưởng dao động từ 5.000 USD tới 15.000 USD cho những ai phát hiện lỗ hổng trên trang chủ và máy chủ chính của Uber.
"Mùa săn bắn" HackerOne
Nhờ chương trình săn thưởng HackerOne mà các tay hacker đã có thêm một công việc "lương thiện" khác, vừa mài rũa nâng cao kỹ năng vừa kiếm được khoản tiền kha khá mà quan trọng là không lo bị bắt hoặc bị trừng phạt như trước đây.
Thực ra, chương trình săn thưởng kiểu này đã có từ năm 1995 do Netscape khởi xướng, nhưng chỉ vài năm trở lại đây nó mới trở nên thông dụng. Sở dĩ phải mất thời gian lâu như thế là bởi khó phân địch rạch ròi giữa hacker "mũ trắng" và hacker "mũ đen". Tuy nhiên, với quy trình rõ ràng như hiện nay thì ranh giới này dần trở nên sáng tỏ.
HackerOne đang vận hành rất nhiều chương trình săn thưởng cho nhiều công ty lớn như Yahoo, Twitter, Google, Facebook, Microsoft... Chủ nhân của sáng kiến này là Michiel Prins và Jobert Abma, vốn lớn lên cùng nhau từ thuở bé. Năm 2011, bộ đôi này đi đến một quyết định táo bạo. Họ lập ra danh sách 100 công ty công nghệ và hack lần lượt vào từng công ty một, mỗi công ty chỉ mất chừng 15 phút là "giải quyết" xong.
Sau đó, Michiel Prins và Jobert Abma khăn gói cho chuyến đi tới Thung lũng Silicon để tiếp cận các công ty có trong danh sách. Các công ty này rất sốc nhưng thật không dễ lắng nghe ý kiến trái chiều, nhất là từ hai tay "mơ" này. Chỉ có 1/3 các công ty quay lại "cám ơn" Michiel Prins và Jobert Abma. Phần còn lại không thèm liên hệ và thậm chí còn dọa kiện ngược lại.
Tuy vậy, có được khởi đầu như thế cũng không hề với HackerOne. Mọi việc sau đó tiến triển tốt hơn. Tính tới ngày 20/1/2016, HackerOne đã phát hiện và khắc phục được 17.000 lỗ hổng và trả thưởng cho hacker "mũ trắng" tham gia vào chương trình tới 5,84 triệu USD. Đây vẫn là số tiền khá khiêm tốn nếu so với quy mô 75 tỉ USD của ngành công nghiệp an ninh mạng hiện nay.
Nghề săn tiền thưởng lỗ hổng bảo mật vì thế vẫn còn rất nhiều "đất" phát triển. 94% trong tổng số 2.000 công ty lớn nhất thế giới theo xếp hạng của Forbes hiện vẫn chưa có cách thức báo cáo lỗ hổng an ninh hiệu quả. Và đây chính là "mỏ vàng" mà hacker "mũ trắng" có thể khai thác lâu dài.
Các tay săn tiền thưởng cộm cán
1. Roy Castillo: Chính haker này đã tìm ra lỗi bảo mật XSS trong ứng dụng Gmail trên iOS. Ngoài ra, Roy Castillo còn báo cho Facebook lỗi làm lộ địa chỉ e-mail chính của người dùng.
2. Frans Rosén: Từng được thưởng 1.000 Euro vì có công phát hiện lỗ hổng XSS trong Mega, hiện Frans Rosén đang đứng thứ 2 trong danh sách các nhân vật săn tiền thưởng nổi bật của Hackerone.
3. Nir Goldshlager: Chính hacker này đã vượt qua cơ chế tường lửa ứng dụng Web Imperva nổi tiếng bằng phương pháp tiếp cận độc đáp. Năm 2012, Nir được xếp đầu danh sách danh dự Whitehat Hall of Fame của Facebook.
4. Emily Stark: Hiện đang là kỹ sư làm việc tại Nhóm bảo mật Chrome của Google. Trước khi gia nhập Google, Emily Stark từng là nhà phát triển chính của Meteor, một framework ứng dụng JavaScript nổi tiếng.
5. Neal Poole: Là kỹ sư bảo mật của Facebook, hiện Neal Poole đang làm cho nhóm Bảo mật Sản phẩm, từng rất nổi tiếng vì có công phát hiện hàng chục lỗi bảo mật trên Facebook. Hiện Neal đang là thành viên của Facebook Whitehat Hall of Fame và đã nhiều lần tìm thấy lỗ hổng trong sản phẩm Google và Mozilla.
6. Mazin Ahmed: Từng phát hiện các lỗ hổng Multiple CSRF trong ứng dụng Facebook Messenger nhưng thành tựu lớn nhất của Mazin Ahmed phải kể tới công phát hiện lỗ hổng W3 Total Cache cực kỳ nghiêm trọng.
7. Mohamed Ramadan: Hacker này đã phát hiện ra lỗ hổng trong ứng dụng Facebook Camera trên iOS, từng cho phép kẻ tấn công có thể xâm nhập vào thiết bị của nạn nhân. Mohamed Ramadan cũng là tác giả của một loạt phát hiện lỗ hổng trong sản phẩm Google, Facebook, Twitter, Microsoft, và Apple.
8. Shubham Shah: Ở tuổi 16, hacker này đã có thể qua mặt cơ chế định danh 2 bước của Google, Yahoo và nhiều hãng công nghệ khác. Shah ghi tên mình lên bức tường danh dự Whitehat Hall of Fame tại PayPal. Hiện Shah đang là nhà nghiên cứu bảo mật của Bishop Fox.
9. Rafay Baloch: Có công phát hiện lỗ hổng thực thi mã từ xa trong PayPal, Baloch từng được trả thưởng 10.000USD. Hacker này còn phát hiện ra lỗ hổng giả mạo thanh trình duyệt hiển thị thông tin chứng khoán trong hệ điều hành di động Android.
10. Bitquark: Từng xếp số 1 trong danh sách các tay săn lỗ hổng, Bitquark hiện đang điều hành trang web tìm kiếm lỗ hổng http://bitquark.co.uk và trang blog riêng. Hacker này từng được Google thưởng 13.000USD vì có công phát hiện lỗ hổng trong Google Sites.
Gia Nguyễn
Theo Zing
vBulletin.com bị hack sạch cơ sở dữ liệu Cuộc tấn công chớp nhoáng của một hacker "mũ đen" (blackhat) vào vBulletin.com rạng sáng 1/11, đánh cắp cơ sở dữ liệu, dữ liệu bản quyền và để lại "cửa sau" (shell) trên máy chủ. Rạng sáng ngày 1/11, một hacker "mũ đen" (blackhat) bí danh Coldzer0 đã tấn công vào website vBulletin.com - công ty bán phần mềm diễn đàn vBulletin có...