Sự thật bất ngờ về nữ sinh chuyên Sử ’săn’ được 9 lỗ hổng bảo mật của Tập đoàn Mỹ
Ít ai ngờ rằng, Lê Mỹ Quỳnh – thủ khoa đầu ra của Học viện Kỹ thuật Mật mã, người săn được 9 lỗ hổng nguy hiểm của Tập đoàn công nghệ Oracle Mỹ lại là dân chuyên Sử.
Lê Mỹ Quỳnh (24 tuổi)
- Thủ khoa đầu ra Học viện Kỹ thuật Mật mã năm 2021.
- Học bổng sinh viên an toàn thông tin trong Tập đoàn Bưu chính Viễn thông Việt Nam liên tiếp trong 3 năm học từ 2018-2021.
- Học bổng du học toàn phần tại Nga.
- Tìm ra 9 lỗi nghiêm trọng từ các sản phẩm của tập đoàn công nghệ Oracle (Mỹ) khi đang học đại học.
- 1 trong 10 gương mặt tiêu biểu của Thủ đô năm 2021.
- Đại biểu Hội nữ tri thức Việt Nam tham gia đại hội Đại hội đại biểu phụ nữ toàn quốc lần thứ XIII.
Với Lê Mỹ Quỳnh, môn Sử đã giúp cô có xu hướng tìm hiểu kỹ nguồn gốc mọi vấn đề trong cuộc sống cũng như công việc, trước khi xử lý một vấn đề gì, kể cả tìm những lỗ hổng bảo mật.
Chuyên Sử nhưng thích công nghệ
- PV: Chào Quỳnh, cơ duyên nào đã đưa bạn đến với trường công nghệ dù xuất thân là dân chuyên Sử?
Lê Mỹ Quỳnh: Tôi lựa chọn học chuyên Sử vì môn Sử giúp tôi phát huy khả năng trí nhớ tốt của mình. Thường những ai học Sử sẽ chọn các trường khối xã hội nhưng tôi lại không thích môn Văn. Tính tôi nguyên tắc và thực tế, cộng với việc bố tôi là cựu sinh viên công nghệ nên tôi mới chọn trường đại học trong lĩnh vực này.
- PV: Chuyển hướng sang học công nghệ, vậy lịch sử có giúp gì cho Quỳnh trong những năm tháng đại học của mình?
Lê Mỹ Quỳnh: Học Sử là yếu tố quan trọng giúp tôi định hình tính cách, rèn luyện trí nhớ. Môn Sử là môn học đề cao quá trình hình thành của mọi việc nên theo đuổi bộ môn này giúp tôi có xu hướng tìm hiểu kỹ nguồn gốc mọi vấn đề trong cuộc sống cũng như công việc, trước khi xử lý một vấn đề gì, kể cả tìm những lỗ hổng bảo mật.
- PV: Lý do gì khiến bạn chọn thi vào Học viện Kỹ thuật Mật mã dù có rất nhiều trường về công nghệ?
Lê Mỹ Quỳnh: Đầu tiên là vì bố tôi cũng là cựu sinh viên ở đây. Hơn nữa, tôi đã tìm hiểu các học bổng đi du học nước ngoài của các trường Đại học thì nhận thấy Học viện Kỹ thuật Mật mã có học bổng hỗ trợ toàn phần sang Nga với chương trình học rất thú vị. Tôi vào Học viện với mong muốn giành học bổng để vừa được đi học lĩnh vực mình thích, vừa giảm bớt gánh nặng tài chính cho bố mẹ.
- PV: Vậy kết quả xin học bổng của bạn ra sao?
Lê Mỹ Quỳnh: Đúng như mong muốn tôi đạt điểm tốt và thành công giành được học bổng du học toàn phần bên Nga.
Mỹ Quỳnh dành được học bỗng du học bên Nga nhưng quyết định từ bỏ, ở lại Việt Nam hoàn thành chương trình học.
- PV: Theo tôi được biết thì hiện bạn vẫn chưa đi du học, có phải bạn đã từ bỏ ước muốn du học của mình?
Video đang HOT
Lê Mỹ Quỳnh: Tôi không từ bỏ mong muốn đi du học mà là hoãn nó lại. Tôi đã tính toán cẩn thận về quá trình này và hỏi thêm kinh nghiệm từ một số anh chị du học sinh đi trước. Nếu lựa chọn sang Nga, tôi phải học tiếng một năm, một năm học dự bị, sau đó học thêm 5 năm đại học. Mất 7 năm với một chương trình học không có gì mới so với ở Học viện Kỹ thuật Mật mã, cơ hội thực tập ngoài thực tế cũng khan hiếm. Vì vậy, tôi chọn ở lại, hoàn thành chương trình kỹ sư tại Học viện Kỹ thuật Mật mã.
Hành trình chông gai ’săn’ 9 lỗ hổng
- PV: Bạn nổi tiếng vì có trong tay bộ sưu tập 9 lỗ hổng bảo mật của tập đoàn công nghệ Oracle, vậy bạn bắt đầu “săn” những lỗ hổng này từ khi nào?
Lê Mỹ Quỳnh: Tôi bắt đầu săn lỗ hổng khi thực tập tại Trung tâm an toàn thông tin của tập đoàn VNPT hồi năm 3. Tôi có nhiệm vụ tìm lỗ hổng trên các sản phẩm công nghệ của công ty và khách hàng đang sử dụng. Mỗi ngày tôi đều dành hết thời gian và công sức cho việc này, có hôm tôi đam mê làm đến 2, 3h sáng.
- PV: Bạn gặp những khó khăn gì khi tìm lỗ hổng bảo mật?
Lê Mỹ Quỳnh: Để tìm được một lỗ hổng tôi gặp khá nhiều khó khăn. Thời điểm bắt đầu tôi chưa được học các môn chuyên ngành, kiến thức cơ bản chưa có, nhiều đêm liền phải thức trắng để đọc tài liệu, những bài nghiên cứu đọc cả 10, 20 lần không hiểu được.
Tôi dành mất gần một năm chỉ đọc và nghiên cứu các bản vá lỗi của các anh chị tìm ra trước đó. Có những lần tôi bị áp lực, nghi ngờ năng lực của bản thân khi mất rất nhiều thời gian và công sức tìm kiếm nhưng đến nửa đường không thể tìm được lỗi, phải bỏ dở.
- PV: Bạn phát hiện lỗ hổng đầu tiên khi nào? Cảm xúc của bạn lúc ấy ra sao?
Lê Mỹ Quỳnh: Tôi phát hiện ra lỗ hổng đầu tiên cuối năm 2019, sau hai tháng đọc và viết code liên tục. Thời điểm ấy vào ngày 29 Tết, chuẩn bị bước sang năm 2020.
Sau khi phát hiện ra lỗ hổng, tôi làm hồ sơ và gửi đến tập đoàn công nghệ Oracle chờ người ta đánh giá và công nhận phát hiện của mình. Trong một tháng chờ người ta phản hồi, tôi khá hồi hộp, có chút lo lắng sợ lỗi mình tìm ra không phải lỗ hổng, hoặc có người đã tìm ra trước mình.
May mắn đầu tháng 2/2020, lỗ hổng đầu tiên tôi tìm ra được công nhận. Tôi khá vui, có phần hưng phấn vì hai tháng trời thức đêm không phí hoài.
- PV: Sau lỗ hổng đầu tiên bạn có rút ra được kinh nghiệm gì cho những lần tìm tiếp theo?
Lê Mỹ Quỳnh: Sau khi phát hiện ra lỗ hổng đầu tiên, tôi có kinh nghiệm đọc, tìm lỗi nhanh hơn rồi tự đúc rút thành một quy trình tìm lỗ hổng để áp dụng đồng đều cho các lỗi sau. Những lỗ hổng tiếp theo tôi tiết kiệm được nhiều công sức, có lúc hai tuần liên tiếp tôi tìm ra hai lỗ hổng.
Trong 3 năm Quỳnh tìm ra được 9 lỗ hổng bảo mật của một tập đoàn công nghệ Mỹ.
- PV: Đến thời điểm hiện tại bạn tìm được bao nhiêu lỗ hổng?
Lê Mỹ Quỳnh: Từ năm 2019 đến tháng 7 năm 2021, tôi phát hiện 9 lỗ hổng của Oracle. Hầu hết lỗ hổng tôi khai thác đều liên quan đến cơ chế Java Deserialization, một dạng tấn công nguy hiểm trên nền tảng ngôn ngữ lập trình Java. Một khi bị tấn công thành công, lỗ hổng dạng này có thể gây hậu quả khó lường.
Trong 9 lỗ hổng tôi phát hiện, 6 cái được đánh giá ở mức độ nghiêm trọng. Trong hai năm 2020 và 2021 tôi được Oracle liên tiếp vinh danh với “bộ sưu tập” lỗ hổng của mình, nhận thưởng 10.000 USD (khoảng 230 triệu đồng).
Những dự định tương lai
- PV: Bắt đầu đi làm và tìm lỗ hổng từ năm thứ 3 đại học, bạn làm thế nào để cân bằng được việc vừa học vừa làm?
Lê Mỹ Quỳnh: Tôi vừa muốn thực hành giỏi vừa muốn vững lý thuyết, nên tôi xác định học là nhiệm vụ trọng tâm nhưng việc đi làm lấy kinh nghiệm cũng quan trọng không kém.
Vừa đi làm cả ngày, vừa đi học từ 18-21h30 nên tôi vô cùng bận rộn. May mắn sau những nỗ lực học tập, tôi tốt nghiệp với số điểm 3,5/4, trở thành thủ khoa đầu ra của trường.
Mỹ Quỳnh cho rằng ngành công nghệ không phải chỉ dành cho đàn ông, mọi cô gái nếu có đam mê đều có thể thử sức.
- PV: Được biết bạn được chọn là một trong 10 gương mặt trẻ của Thủ đô năm 2021, và là đại biểu Hội nữ tri thức Việt Nam tham gia đại hội Đại hội đại biểu phụ nữ toàn quốc lần thứ XIII, bạn có thể chia sẻ một chút về cảm xúc của mình?
Lê Mỹ Quỳnh: Thời điểm làm hồ sơ tôi không nghĩ mình được chọn, với tôi những người được chọn là người có những đóng góp rất lớn, có tầm ảnh hưởng. Khi được xướng tên, tôi thấy rất bất ngờ, vui sướng và có phần hãnh diện.
Khi may mắn trở thành đại biểu đại diện Hội nữ tri thức Việt, tham gia đại hội Đại hội đại biểu phụ nữ toàn quốc lần thứ XIII, tôi có chút lạ lẫm, nhưng cũng rất vinh dự. Đây là công việc tôi tham gia cuối cùng trước dự định ra nước ngoài học tập.
Với tôi tri thức đi song hành với việc làm kinh tế, vì vậy khi tham gia Đại hội, tôi muốn truyền cảm hứng cho các bạn, đặc biệt là các bạn nữ. Các bạn phải luôn trau dồi tri thức vì đây là nền giá trị cốt lõi để phát triển toàn diện bản thân.
Mọi người thường nhìn vào công việc của tôi và cho rằng chỉ có các bạn nam mới làm được. Tham gia Đại hội đại biểu phụ nữ toàn quốc lần thứ XIII là lúc tôi chứng minh cho mọi người thấy con gái tuy sức khỏe yếu hơn, nhưng không có nghĩa những công việc đòi cao về trí tuệ, phân tích chúng tôi không làm được.
- PV: Bạn nói mình dự định ra nước ngoài, bạn có thể chia sẻ một chút về chuyến đi này?
Lê Mỹ Quỳnh: Sau 3 năm làm chuyên viên kiểm thử xâm nhập và đánh giá an toàn thông tin tại VNPT Cyber Immunity, tôi quyết định nghỉ việc. Tôi thấy mình đã đủ trải nghiệm thực tế ở trong nước nên dự định cho một chuyến đi học tập tại nước ngoài.
Bố mẹ tôi khi biết tôi muốn ra nước ngoài thì rất tôn trọng quyết định này. Vì vậy, những ngày này tôi tạm gác việc săn các lỗ hổng để bên gia đình và bạn bè nhiều hơn trước khi thực hiện dự định riêng của mình.
- PV: Bạn đã dự định đi nước nào chưa? Và nếu đi khi nào bạn sẽ trở lại Việt Nam?
Lê Mỹ Quỳnh: Tôi vẫn đang trong quá trình lựa chọn quốc gia nào là nơi mình muốn đến. Nếu đi nước ngoài học tập có thể thời gian sẽ kéo dài từ 1 đến 2 năm. Tôi muốn học và thử sức ở một công ty công nghệ nào đấy trước khi quay trở về quê nhà. Việt Nam vẫn là nơi tôi mong muốn phát triển sự nghiệp của bản thân.
Nữ thủ khoa 9 lần phát hiện lỗ hổng của tập đoàn công nghệ Mỹ
Trước khi trở thành thủ khoa đầu ra của Học viện Kỹ thuật Mật mã, Lê Mỹ Quỳnh từng nhiều lần được tập đoàn công nghệ Mỹ vinh danh vì tìm ra các lỗ hổng bảo mật quan trọng.
Gần đây nhất, trong năm 2021, Quỳnh đã tìm ra thêm 5 lỗ hổng mới, đều được đánh giá ở mức nghiêm trọng hoặc cực kỳ nghiêm trọng. Những kết quả nghiên cứu này cũng đã được cô nữ sinh sinh năm 1998 đưa vào đồ án tốt nghiệp mang tên "Nghiên cứu lỗ hổng Deserialization trong ngôn ngữ Java" và giành được điểm A .
Hoàn thành chương trình 5 năm học với điểm GPA 3.5/4.0, Quỳnh chính thức được vinh danh là thủ khoa Học viện Kỹ thuật Mật mã vào giữa tháng 11 vừa qua.
Từ bỏ suất học bổng toàn phần để được "dấn thân" sớm hơn
Có bố là cựu sinh viên Học viện Kỹ thuật Mật mã, Mỹ Quỳnh cho biết, bản thân quyết định lựa chọn ngôi trường này một phần vì được gia đình định hướng, một phần cũng vì thấy ngành An toàn thông tin khá hợp với cá tính của bản thân.
"Ngày nhỏ, em được tiếp xúc với máy tính từ khá sớm. Em thường hay mày mò "phẫu thuật" phần cứng, để xem bên trong có những thứ gì. Lớn hơn một chút, bố bắt đầu chỉ cho em cách viết code. Vì thế, em cảm thấy rằng mình hợp với ngành kỹ thuật hơn là xã hội".
Mặt khác, Quỳnh cũng được biết, sinh viên năm nhất khi theo học ngành này ở Học viện Kỹ thuật Mật mã có thể giành học bổng du học toàn phần tại Nga. Vì thế, khi vừa vào trường, Quỳnh đã cố gắng hoàn thành thật tốt chương trình học và là một trong số ít sinh viên năm nhất giành được học bổng này.
Lê Mỹ Quỳnh, thủ khoa Học viện Kỹ thuật Mật mã năm 2021.
Nhưng khi đạt được mục tiêu ban đầu, Quỳnh lại bắt đầu do dự.
"Nếu lựa chọn sang Nga, em sẽ mất thêm thời gian 1 - 2 năm để học tiếng và hoàn thành các kỳ thi đầu vào. Vì thế, em đã quyết định ở lại để được dấn thân vào công việc sớm hơn", Quỳnh nói.
Mặc dù quyết định từ bỏ cơ hội tốt, nhưng khi nhìn lại, Quỳnh lại thấy bản thân không hề hối hận.
Từ năm thứ 2, khi vừa bắt đầu vào học các môn chuyên ngành, cô gái Hà Nội đã tìm kiếm thông tin về các cuộc thi liên quan đến an toàn thông tin để thử sức.
CTF là một cuộc thi về bảo mật được tổ chức thường xuyên, yêu cầu người tham gia phải tìm ra các lỗ hổng bảo mật. Cô nữ sinh năm 2 nhiều lần thử sức cùng với các "đàn anh" và cũng không ít lần tìm ra được các lỗ hổng 0-day (lỗ hổng nghiêm trọng nhưng chưa ai tìm ra và biết cách vá).
Ngoài ra, Quỳnh cũng từng tham gia cuộc thi VNPT Security Marathon, sau đó trúng tuyển thực tập tại VNPT ngay khi vừa kết thúc năm thứ 2 đại học.
Ban đầu được phân công vào vị trí kiểm thử xâm nhập, một năm sau đó, Quỳnh được chuyển sang công việc nghiên cứu tại Phòng Đánh giá và kiểm thử xâm nhập. Theo Quỳnh, đây là một cơ hội tốt để cô có thể học hỏi kinh nghiệm làm việc thực tế từ các anh chị đi trước, đồng thời cũng có điều kiện để thực hành nhiều hơn.
Quỳnh trúng tuyển thực tập tại VNPT ngay khi vừa kết thúc năm thứ 2 đại học
"Em nhận thấy, việc tìm kiếm lỗ hổng bảo mật là cách thức tiếp cận kiến thức nhanh nhất trong lĩnh vực bảo mật và an toàn thông tin. Điều này cũng giúp em học các môn chuyên ngành ở trường dễ dàng hơn".
Mặc dù phải đi làm từ 8h - 17h, sau đó lại quay về trường học từ 18 - 21h30 tối, nhưng trong suốt 5 năm ở Học viện, Quỳnh luôn giành học bổng và có điểm GPA xếp top đầu của lớp.
Tìm ra lỗ hổng của tập đoàn công nghệ Mỹ
Bắt đầu mày mò tìm các lỗ hổng bảo mật từ năm thứ 2, đến cuối năm 2019, Quỳnh đã tìm ra lỗ hổng cực kỳ nghiêm trọng đầu tiên. Năm tiếp theo là 4 lỗ hổng, đều xuất hiện trên trên máy chủ WebLogic của Oracle - tập đoàn công nghệ Mỹ có các sản phẩm đang được sử dụng bởi hàng chục nghìn công ty trên khắp thế giới.
"Nếu không nhanh chóng phát hiện sớm và đưa ra bản vá, rất có thể các hacker mũ đen sẽ tìm ra các lỗ hổng này để xâm nhập vào, từ đó gây nên những hiệu quả khó lường", Quỳnh nói.
Đến năm nay, tổng số lỗ hổng được Quỳnh phát hiện đã tăng lên là 9 "bug", trong đó có 6 lỗ hổng được đánh giá ở mức cực kỳ nguy hiểm. Vì thế, Quỳnh nhiều lần đã được Oracle vinh danh khi còn chưa tốt nghiệp đại học.
Với những phát hiện và nghiên cứu của mình, Lê Mỹ Quỳnh đã mạnh dạn tham dự các hội thảo về bảo mật để học hỏi và chia sẻ kỹ năng nghiên cứu, cũng như trình bày các tham luận và kết quả nghiên cứu của mình tại các hội thảo chuyên môn về an toàn thông tin.
Quỳnh cũng cho biết, muốn tìm ra một lỗ hổng, đôi khi phải mất nhiều tháng trời để nghiên cứu sản phẩm cũng như các lỗ hổng đã được tìm ra trước đó. Vì vậy, việc phải ôm máy tính trên 10 tiếng mỗi ngày là điều không còn quá xa lạ.
Để có thể cân bằng cuộc sống, ngoài thời gian đi làm, Quỳnh vẫn dành thời gian cho các sở thích riêng, hay đi chơi cùng bạn bè vào buổi tối hoặc những ngày cuối tuần.
Quỳnh cho rằng, vấn đề giới tính không phải là điều quá quan trọng trong lĩnh vực bảo mật và an toàn thông tin.
"Em nghĩ rằng, chỉ cần kiên trì, đam mê thì bất kể là nam hay nữ cũng đều có thể theo đuổi lĩnh vực này", Quỳnh nói.
Nữ thủ khoa Học viện Kỹ thuật Mật mã cũng cho biết, mong muốn của cô là trở thành một "Security Research" có tầm ảnh hưởng trong lĩnh vực bảo mật toàn cầu, đồng thời tiếp tục tìm được những lỗ hổng đột phá hơn. Xa hơn nữa, Quỳnh cũng mong muốn được tham dự và trở thành diễn giả tại các hội nghị về bảo mật tầm cỡ quốc tế.
Nữ sinh sốc vì 'ra trường lương chỉ có 7 triệu' gây tranh cãi Mới đây, trên mạng xã hội đã xôn xao vì 1 Nữ sinh cảm thấy sốc khi mức lương khởi điểm của 1 sinh viên ra trường chỉ có 7 triệu. Nguyên văn dòng chia sẻ của nữ sinh như sau: "Các anh chị ơi, ra trường lương 7 triệu là có thật ạ? Em đang năm nhất, chuẩn bị lên năm 2...