TikTok vá lỗ hổng bảo mật nghiêm trọng

Sau thu nhập "khủng" 330 tỷ của cô gái sinh năm 92, hãy xem Hacker mũ trắng tiết lộ sự thật về thu nhập tiền tỷ của "thợ săn lỗi"

"Với những lỗi được chấp nhận trên Facebook, mình đã được 4.000 USD (hơn 92 triệu đồng) cho 1 lỗi" - Đậu Huy Ngọc chia sẻ.

Thông tin cô gái sinh năm 1992 ở quận Cầu Giấy (Hà Nội) có thu nhập 330 tỷ đồng trong năm 2020 và một chàng trai 30 tuổi khác có thu nhập cũng lên đến 260 tỷ đồng, đều từ công việc sáng tác phần mềm đăng tải trên Google Play và App Store khiến dư luận dậy sóng.

Thực tế, từ cách đây 3 năm, đại diện Facebook đã từng chia sẻ: "Việt Nam có khoảng 50 bạn trẻ tuổi tầm 19, 20 đã trở thành triệu phú USD".

Và không chỉ có nghề sáng tác phần mềm, trong lĩnh vực công nghệ thông tin còn có nghề rất "hot" là Bug Bounty (tạm dịch: Săn lỗi nhận thưởng), đưa các bạn có tuổi đời rất trẻ trở thành triệu phú. Những người làm nghề này thường được gọi là bug bounty hunter (thợ săn lỗi) hay quen thuộc hơn là hacker mũ trắng - những người nghiên cứu về an toàn thông tin với mục đích tốt.

Bug Bounty là một chương trình bảo mật được công bố bởi các tổ chức, doanh nghiệp hoặc bên thứ 3 nhằm thu hút cộng đồng dò tìm và báo cáo lỗ hổng bảo mật (bug) trong các sản phẩm công nghệ. Trong đó, các khoản tiền thưởng (bounty) sẽ được trao cho những người tìm ra lỗi.

Mục đích của chương trình Bug Bounty là dò tìm ra nhiều lỗ hổng bảo mật nhất có thể, từ đó khắc phục - sửa chữa các lỗ hổng đó trước khi tin tặc phát hiện ra. Việc này giúp phòng tránh kẻ xấu khai thác các lỗ hổng bảo mật dẫn tới nhiều hậu quả khôn lường.

Sản phẩm cần tìm lỗi có thể là website, mobile app, IoT, API, phần mềm máy tính...

Chuyên gia bảo mật Đậu Huy Ngọc - người đứng trong top các hacker mũ trắng được Google và Facebook vinh danh - mới đây đã có một bài trả lời phỏng vấn trên báo Thanh niên. Huy Ngọc cho biết, công việc của hacker mũ trắng mới chỉ thực sự phát triển trong khoảng 5 - 7 năm nay. Đó là khi nhiều công ty lớn cởi mở và sẵn sàng để cho các hacker thâm nhập, tìm lỗi trong hệ thống và báo cho họ biết. Có những công ty sẽ trả tiền cho những hacker có công tìm ra lỗi đúng. Có công ty chỉ đơn giản là cảm ơn hay lưu tên trên bảng vinh danh một cách công khai.

Chuyên gia bảo mật Đậu Huy Ngọc

"Năm 2020, tôi đã báo được vài chục lỗi trên Google và 4 lỗi trên Facebook. Tuy nhiên, Facebook chỉ chấp nhận 3 lỗi, còn 1 lỗi nghiêm trọng phía họ cho biết đang trong quá trình khắc phục và giải quyết vấn đề đấy trước khi mình báo lỗi. Với những lỗi được chấp nhận trên Facebook, mình đã được 4.000 USD (hơn 92 triệu đồng) cho 1 lỗi; còn về khoản chi trả của Google, xin phép không tiết lộ." - Huy Ngọc trả lời phỏng vấn.

Chuyên gia này chia sẻ, có những công ty trung gian, hay nói một cách chuẩn xác hơn là những nền tảng cho những công ty và giới chuyên gia bảo mật liên kết với nhau. Trên thế giới hiện có khoảng một chục nền tảng trung gian, trong đó có khoảng 3 - 4 nền tảng lớn nhất.

Một trong số những nền tảng uy tín và lớn nhất là Hacker One. Theo con số thống kê của Hacker One, có khoảng hơn 600.000 hacker tham gia nền tảng này. Họ đến từ khoảng 170 quốc gia, làm việc với khoảng 1.700 công ty và cơ quan chính phủ trên khắp thế giới. Năm 2019, các hacker qua nền tảng này đã nhận được 40 triệu USD tiền thưởng.

"Nhiều người nghĩ làm "thợ săn lỗi" là công việc dễ kiếm tiền, bởi thực tế đã có những hacker mũ trắng kiếm được nhiều tiền, có cuộc sống sung túc. Bên cạnh đó, những hacker mũ trắng cũng không phân biệt về tuổi tác (có nhiều bạn 16 - 17 tuổi đã có thể kiếm tiền từ công việc này), hay đến từ quốc gia, vùng lãnh thổ nào...

Do đó, có rất nhiều người đăng ký để làm công việc này, thậm chí họ có thể chưa thật sự biết rõ về công việc của một hacker mũ trắng, hay có khi cứ báo bừa lỗi với hy vọng đó là lỗi được công ty nào đó chấp nhận. Bởi vậy, số lượng đăng ký làm hacker mũ trắng có thể đông, nhưng số lượng hacker mũ trắng sống được hoàn toàn bằng công việc này, theo quan sát của tôi, không quá con số 500 người" - Đậu Huy Ngọc cho biết.

Hacker mũ trắng này cũng khẳng định, đây không phải là nghề phổ thông như kiểu đi làm thuê và được trả tiền. Với công việc "thợ săn lỗi", nhiều người cùng làm một việc, ai làm được việc thì được nhận tiền. Cho nên, số lượng người kiếm được nhiều tiền bằng công việc này thực ra không nhiều.

"Theo tôi được biết, trên nền tảng Hacker One, hiện mới có một số người đã kiếm được tổng số tiền thưởng trên 1 triệu USD (hơn 23 tỉ đồng), và đó đều là những hacker xuất sắc hàng đầu".

Tại Việt Nam, vào ngày 27/4/2019, Trung tâm Giám sát an toàn không gian mạng quốc gia đã chính thức ra mắt chương trình Bug Bounty Việt Nam. Chương trình này dành số tiền thưởng cho bất kỳ ai tìm được lỗ hổng trong các hệ thống mạng do Trung tâm quy định.

Cũng tương tự Hacker One được nhắc đến ở trên, nền tảng Bugbounty Việt Nam là một trung gian, kết nối doanh nghiệp, tổ chức và các hacker. Trên website của Bugbounty Việt Nam, thông tin cho biết, cộng đồng bảo mật có thể giúp các đơn vị phát hiện ra gấp 7 lần số lỗ hổng nghiêm trọng so với các phương pháp kiểm thử bảo mật truyền thống. Tiền thưởng cho các Hacker được dựa hoàn toàn trên số lỗ hổng thực tế được xác định thay vì một khoản phí cố định như đối với các dịch vụ kiểm thử truyền thống.