TikTok vá lỗ hổng bảo mật nghiêm trọng
Đầu năm nay, TikTok khởi động chương trình săn lỗi nhận thưởng ( bounty hunter) và những nỗ lực này đã mang lại kết quả, khi công ty sửa một lỗ hổng nghiêm trọng được phát hiện bởi công ty bảo mật Check Point Research.
Tính năng tìm kiếm bạn bè của Tiktok có thể bị khai thác cho các cuộc tấn công độc hại
Theo Engadget , lỗ hổng bảo mật sẽ cho phép những kẻ tấn công sử dụng tính năng “ Friend Finder” của ứng dụng để lấy cắp thông tin chi tiết hồ sơ và số điện thoại của người dùng, sau đó xây dựng cơ sở dữ liệu thông tin có thể được sử dụng cho các cuộc tấn công độc hại.
Các nhà nghiên cứu của Check Point đã phát triển một phương pháp khai thác sau khi nhận thấy lỗ hổng trong cách thức máy chủ của TikTok xác nhận các yêu cầu của Friend Finder. Tiktok sẽ sử dụng ID thiết bị duy nhất cho điện thoại của mỗi người dùng và sẽ tạo mã thông báo về người dùng và phiên cookie. Tuy nhiên, nhóm nghiên cứu nhận thấy các cookie này có hiệu lực trong tối đa 60 ngày, cho phép chúng được sử dụng trong các thiết bị ảo thay vì điện thoại thực.
Một lỗ hổng trước đây của Facebook là minh chứng điển hình cho hình thức tấn công này. Tội phạm mạng có thể lấy cắp nhiều số điện thoại do người dùng Facebook nhập vào nhằm mục đích riêng tư và xây dựng cơ sở dữ liệu lên đến 500 triệu người dùng. Sau đó, chúng tạo ra một con bot Telegram tiết lộ các con số điện thoại này cho bất kỳ ai sẵn sàng trả tiền.
Check Point Research cho biết đã thông báo cho các nhà phát triển và nhóm bảo mật của TikTok về vấn đề này và một giải pháp đã được triển khai một cách có trách nhiệm để đảm bảo người dùng của họ có thể tiếp tục sử dụng ứng dụng TikTok một cách an toàn.
Video đang HOT
Người phát ngôn của TikTok nhấn mạnh “lỗ hổng có thể cho phép kẻ tấn công xây dựng cơ sở dữ liệu về chi tiết người dùng và số điện thoại tương ứng của họ. Kẻ tấn công với mức độ thông tin nhạy cảm đó có thể thực hiện một loạt các hoạt động độc hại, chẳng hạn như lừa đảo trực tuyến hoặc các hành động tội phạm khác. Thông điệp của chúng tôi tới người dùng TikTok là chia sẻ dữ liệu cá nhân ở mức tối thiểu, cập nhật hệ điều hành và ứng dụng lên phiên bản mới nhất. Chúng tôi vẫn tiếp tục tăng cường khả năng phòng thủ của mình, bằng cách liên tục nâng cấp năng lực nội bộ của mình như đầu tư vào hệ thống phòng thủ tự động hóa và cũng bằng cách hợp tác với các bên thứ ba”.
Sau thu nhập "khủng" 330 tỷ của cô gái sinh năm 92, hãy xem Hacker mũ trắng tiết lộ sự thật về thu nhập tiền tỷ của "thợ săn lỗi"
"Với những lỗi được chấp nhận trên Facebook, mình đã được 4.000 USD (hơn 92 triệu đồng) cho 1 lỗi" - Đậu Huy Ngọc chia sẻ.
Thông tin cô gái sinh năm 1992 ở quận Cầu Giấy (Hà Nội) có thu nhập 330 tỷ đồng trong năm 2020 và một chàng trai 30 tuổi khác có thu nhập cũng lên đến 260 tỷ đồng, đều từ công việc sáng tác phần mềm đăng tải trên Google Play và App Store khiến dư luận dậy sóng.
Thực tế, từ cách đây 3 năm, đại diện Facebook đã từng chia sẻ: "Việt Nam có khoảng 50 bạn trẻ tuổi tầm 19, 20 đã trở thành triệu phú USD".
Và không chỉ có nghề sáng tác phần mềm, trong lĩnh vực công nghệ thông tin còn có nghề rất "hot" là Bug Bounty (tạm dịch: Săn lỗi nhận thưởng), đưa các bạn có tuổi đời rất trẻ trở thành triệu phú. Những người làm nghề này thường được gọi là bug bounty hunter (thợ săn lỗi) hay quen thuộc hơn là hacker mũ trắng - những người nghiên cứu về an toàn thông tin với mục đích tốt.
Bug Bounty là một chương trình bảo mật được công bố bởi các tổ chức, doanh nghiệp hoặc bên thứ 3 nhằm thu hút cộng đồng dò tìm và báo cáo lỗ hổng bảo mật (bug) trong các sản phẩm công nghệ. Trong đó, các khoản tiền thưởng (bounty) sẽ được trao cho những người tìm ra lỗi.
Mục đích của chương trình Bug Bounty là dò tìm ra nhiều lỗ hổng bảo mật nhất có thể, từ đó khắc phục - sửa chữa các lỗ hổng đó trước khi tin tặc phát hiện ra. Việc này giúp phòng tránh kẻ xấu khai thác các lỗ hổng bảo mật dẫn tới nhiều hậu quả khôn lường.
Sản phẩm cần tìm lỗi có thể là website, mobile app, IoT, API, phần mềm máy tính...
Chuyên gia bảo mật Đậu Huy Ngọc - người đứng trong top các hacker mũ trắng được Google và Facebook vinh danh - mới đây đã có một bài trả lời phỏng vấn trên báo Thanh niên. Huy Ngọc cho biết, công việc của hacker mũ trắng mới chỉ thực sự phát triển trong khoảng 5 - 7 năm nay. Đó là khi nhiều công ty lớn cởi mở và sẵn sàng để cho các hacker thâm nhập, tìm lỗi trong hệ thống và báo cho họ biết. Có những công ty sẽ trả tiền cho những hacker có công tìm ra lỗi đúng. Có công ty chỉ đơn giản là cảm ơn hay lưu tên trên bảng vinh danh một cách công khai.
Chuyên gia bảo mật Đậu Huy Ngọc
"Năm 2020, tôi đã báo được vài chục lỗi trên Google và 4 lỗi trên Facebook. Tuy nhiên, Facebook chỉ chấp nhận 3 lỗi, còn 1 lỗi nghiêm trọng phía họ cho biết đang trong quá trình khắc phục và giải quyết vấn đề đấy trước khi mình báo lỗi. Với những lỗi được chấp nhận trên Facebook, mình đã được 4.000 USD (hơn 92 triệu đồng) cho 1 lỗi; còn về khoản chi trả của Google, xin phép không tiết lộ." - Huy Ngọc trả lời phỏng vấn.
Chuyên gia này chia sẻ, có những công ty trung gian, hay nói một cách chuẩn xác hơn là những nền tảng cho những công ty và giới chuyên gia bảo mật liên kết với nhau. Trên thế giới hiện có khoảng một chục nền tảng trung gian, trong đó có khoảng 3 - 4 nền tảng lớn nhất.
Một trong số những nền tảng uy tín và lớn nhất là Hacker One. Theo con số thống kê của Hacker One, có khoảng hơn 600.000 hacker tham gia nền tảng này. Họ đến từ khoảng 170 quốc gia, làm việc với khoảng 1.700 công ty và cơ quan chính phủ trên khắp thế giới. Năm 2019, các hacker qua nền tảng này đã nhận được 40 triệu USD tiền thưởng.
"Nhiều người nghĩ làm "thợ săn lỗi" là công việc dễ kiếm tiền, bởi thực tế đã có những hacker mũ trắng kiếm được nhiều tiền, có cuộc sống sung túc. Bên cạnh đó, những hacker mũ trắng cũng không phân biệt về tuổi tác (có nhiều bạn 16 - 17 tuổi đã có thể kiếm tiền từ công việc này), hay đến từ quốc gia, vùng lãnh thổ nào...
Do đó, có rất nhiều người đăng ký để làm công việc này, thậm chí họ có thể chưa thật sự biết rõ về công việc của một hacker mũ trắng, hay có khi cứ báo bừa lỗi với hy vọng đó là lỗi được công ty nào đó chấp nhận. Bởi vậy, số lượng đăng ký làm hacker mũ trắng có thể đông, nhưng số lượng hacker mũ trắng sống được hoàn toàn bằng công việc này, theo quan sát của tôi, không quá con số 500 người" - Đậu Huy Ngọc cho biết.
Hacker mũ trắng này cũng khẳng định, đây không phải là nghề phổ thông như kiểu đi làm thuê và được trả tiền. Với công việc "thợ săn lỗi", nhiều người cùng làm một việc, ai làm được việc thì được nhận tiền. Cho nên, số lượng người kiếm được nhiều tiền bằng công việc này thực ra không nhiều.
"Theo tôi được biết, trên nền tảng Hacker One, hiện mới có một số người đã kiếm được tổng số tiền thưởng trên 1 triệu USD (hơn 23 tỉ đồng), và đó đều là những hacker xuất sắc hàng đầu".
Tại Việt Nam, vào ngày 27/4/2019, Trung tâm Giám sát an toàn không gian mạng quốc gia đã chính thức ra mắt chương trình Bug Bounty Việt Nam. Chương trình này dành số tiền thưởng cho bất kỳ ai tìm được lỗ hổng trong các hệ thống mạng do Trung tâm quy định.
Cũng tương tự Hacker One được nhắc đến ở trên, nền tảng Bugbounty Việt Nam là một trung gian, kết nối doanh nghiệp, tổ chức và các hacker. Trên website của Bugbounty Việt Nam, thông tin cho biết, cộng đồng bảo mật có thể giúp các đơn vị phát hiện ra gấp 7 lần số lỗ hổng nghiêm trọng so với các phương pháp kiểm thử bảo mật truyền thống. Tiền thưởng cho các Hacker được dựa hoàn toàn trên số lỗ hổng thực tế được xác định thay vì một khoản phí cố định như đối với các dịch vụ kiểm thử truyền thống.
Lý do thực sự phía sau việc: Tại sao Oracle lại thắng thầu TikTok? Các báo cáo mới cho thấy Oracle đã đánh bại Microsoft để tiếp quản hoạt động kinh doanh của TikTok tại Mỹ, thông tin nghe qua có vẻ "không bình thường" nhưng càng ngẫm lại càng thấy vô cùng hợp lý. Theo các báo cáo được đưa ra hôm Chủ Nhật 13/9, Oracle đã đánh bại Microsoft trong vụ đấu thầu các hoạt...