Phát hiện lỗ hổng bảo mật, hacker được công ty tuyển luôn làm kỹ sư an ninh mạng

    Neo,  

    Hồi tháng Sáu, Herdian Nugraha, một sinh viên năm nhất tại Đại học Nông nghiệp ở Bogor, Indonesia đã phát hiện ra một lỗ hổng bảo mật trên các trang web của một số startup nổi tiếng ở địa phương.

    Cậu sinh viên đam mê bảo mật máy tính này không khai thác những lỗ hổng trên để đánh cắp dữ liệu hoặc phá hoại mà thay vào đó báo lỗi cho và đề nghị các công ty có những biện pháp khắc phục. Cậu đã đăng tải chi tiết về vụ hack và phản ứng của các startup với vấn đề vào đầu tuần này.

    Săn lỗi nhận thưởng, một chân trời mới cho các hacker

    Phương thức hack mà Herdian sử dụng không phải là mới. Trên blog của mình, cậu viết rằng sau khi tìm hiểu về lỗ hổng ImageTragick cậu muốn thử xem những trang web mình thường lui tới có lỗ hổng trên hay không.

     Herdian (thứ hai từ bên phải sang) cùng nhóm của cậu đạt huy chương vàng cuộc thi bảo mật hệ thống máy tính

    Herdian (thứ hai từ bên phải sang) cùng nhóm của cậu đạt huy chương vàng cuộc thi bảo mật hệ thống máy tính

    Hai trang web thương mại điện tử địa phương là Buklapak và Tokopedia đã trở thành mục tiêu của cậu và mục tiêu thứ ba là Sribu, một cộng đồng thiết kế.

    Herdian đã tải lên một tập tin chứa mã độc thông qua trình tải hình ảnh của các trang web trên. Mã độc mà Herdian tải lên cho phép cậu dành quyền truy cập và giao tiếp với máy chủ của các công ty.

    Sau khi Herdian báo lỗi, nhóm bảo mật của Bukalapak và Tokopedia đã mau chóng có những động thái phản ứng.

    Cả hai công ty này đều đang triển khai chương trình săn lỗi nhận thưởng. Họ sẽ thưởng cho các hacker phát hiện ra lỗ hổng trong hệ thống của họ một số tiền nhất định, số tiền phụ thuộc vào độ nghiêm trọng của lỗ hổng. Đây là con đường mới, hợp pháp và tươi sáng cho các hacker thay vì dành quyền truy cập để đánh cắp dữ liệu hoặc phá hoại.

    Herdian chia sẻ rằng cậu nhận được 1.146 USD từ Bukalapak và 764 USD từ Tokopedia. Đó là phần thưởng cực kỳ lớn với một sinh viên.

    Herdian rất thích Tokopedia vì hãng này phản ứng rất nhanh, vá xong lỗ hổng chỉ trong 4 giờ. Trong khi đó, Bukalapak mất hai ngày để vá lỗ hổng.

    Sribu không vá lỗi trong thời điểm Herdian công bố thông tin vụ hack.

    Ngay cả Facebook cũng từng bị hack

    Săn lỗi nhận thưởng là phương thức hợp tác thông minh giữa các gã khổng lồ công nghệ và hacker. Một số hãng công nghệ lớn, như Microsoft, tổ chức các cuộc thi khuyến khích hacker tấn công vào hệ thống của họ. Ngay cả Facebook cũng vẫn có những lỗ hổng trong phần mềm.

     Achmad Zaky CEO của Bukalapak

    Achmad Zaky CEO của Bukalapak

    Bukalapak ngay lập tức biến nhược điểm thành ưu thế bằng cách tuyển Herdian vào vị trí kỹ sư an ninh mạng. Chương trình săn lỗi nhận thưởng của hãng này đã biến thành một kênh tuyển dụng.

    Cả Bukalapak và Tokopedia đều là những startup huy động được nhiều vốn nên họ dễ dàng thuê những kỹ sư hàng đầu và thưởng cho các hacker như Herdian.

    Tuy nhiên các startup nhỏ tự bảo vệ mình như thế nào? Sribu có vẻ như không có một hệ thống phản ứng nhanh mặc dù hiện tại lỗ hổng trong hệ thống của họ đã được vá.

    Tham khảo Tech In Asia

    Tin cùng chuyên mục
    Xem theo ngày