Gặp gỡ hacker tuổi teen chuyên săn lỗi kiếm tiền nuôi dưỡng sự nghiệp chống lại các thế lực đen tối

3 giờ sáng, Alex Coltuneac chuẩn bị đi ngủ. Gói bánh gấu trên bàn đã rỗng và hộp đồ ăn Trung Quốc cũng vậy. Đêm nay, hacker mũ trắng tuổi teen người Rumani này chỉ được ngủ ba tiếng. Đêm qua và trước đó nữa cũng vậy. Anh đang dồn mọi nỗ lực nhằm tìm ra một lỗ hổng trên công cụ live chat của YouTube, thứ mà anh định báo cáo cho Google và hy vọng nhận được một khoản tiền thưởng.

Không một lỗ hổng nào trong số những lỗ hổng mà anh phát hiện ra trong vài ngày qua khiến anh hài lòng vì vậy anh tiếp tục tìm kiếm, lùng sục.

Trong bốn năm qua, Coltuneac đã nhận được rất nhiều tiền thưởng từ các hãng như Google, Facebook, Microsoft, Adobe, Yahoo, eBay và PayPal cho các lỗ hổng mà anh báo cáo. Các chương trình săn lỗi nhận thưởng giúp anh có thu nhập để tiếp tục con đường học tập, nghiên cứu để trở thành một chuyên gia an ninh mạng.

Tại một đất nước nổi tiếng về tội phạm mạng, hacker mũ trắng 19 tuổi này là một phần của một nhóm tin tặc nhỏ, những người muốn phát triển sự nghiệp hacker theo hướng tốt đẹp. Đây là một khởi đầu mới cho cộng đồng hacker Rumani vốn nổi tiếng với nhiều tin tặc mũ đen đình đám như Guccifer và "làng tin tặc" Hackerville. Tin tặc Rumani đã rất nhiều lần đánh cắp tiền từ các ngân hàng Mỹ, lừa đảo trên eBay và chúng bị FBI truy nã gắt gao.

Coltuneac hiện là sinh viên năm nhất ngành Khoa học Máy tính tại Đại học Babes-Bolyai tại Cluj-Napoca. Anh lớn lên trong gia đình đề cao tính trung thực và bắt đầu sử dụng máy tính từ năm lên sáu. Đầu tiên, anh đã tự học cách chơi game nhưng khi lớn thêm một chút anh bắt đầu nhìn thấy tiềm năng sử dụng máy tính như một công cụ kiếm tiền.

Những năm đầu của thời niên thiếu, anh đã thấy các hacker mũ đen Rumani kiếm rất nhiều tiền bằng cách bán lỗ hổng mà họ tìm thấy trên thị trường chợ đen. Họ có thể kiếm được hàng ngàn đô la Mỹ với vài cú nhấp chuột, nhiều hơn số tiền mà cha mẹ Coltuneac kiếm được trong vòng một tháng. Anh không muốn tham gia cùng họ nhưng anh muốn kiếm tiền để học đại học.

Sức quyến rũ của cuộc sống như một hacker khá mạnh mẽ.

Đó là lý do tại sao anh cảm thấy rất biết ơn khi anh tìm thấy chương trình săn lỗi nhận thưởng vào năm 15 tuổi. Họ trả đủ tiền để anh có thể giữ lương tâm của mình trong sáng và tài khoản ngân hàng luôn đầy ắp. Chương trình săn lỗi nhận thưởng giúp anh có tiền trang trải cuộc sống và học tập vì vậy "chẳng còn lý do nào khiến anh phải làm những việc phi pháp", anh nói.

Coltuneac không chia sẻ số tiền anh kiếm được từ việc săn lỗi nhưng các hacker mũ trắng khác với trình độ tương tự từng khoe khoang rằng trong một tháng may mắn họ có thể kiếm được khoảng 6.000 USD. Đó là số tiền mà một người dân Rumani bình thường kiếm được trong vòng một năm. Mức lương trung bình mỗi tháng của người dân Rumani là 520 USD, thấp nhất trong Liên minh châu Âu.

Trên thị trường chợ trắng, một lỗ hổng bình thường có thể mang về cho Coltuneac vài trăm USD, đủ trả tiền thuê nhà hàng tháng. Những lỗi nghiêm trọng hơn có thể đáng giá vài ngàn USD. Rất hiếm khi có những lỗ hổng được thưởng trên 100.000 USD. Anh không ngừng hy vọng rằng một ngày nào đó mình sẽ tìm ra một lỗ hổng đắt giá.

Tuy nhiên, nếu bán lỗ hổng cho thị trường chợ xám và chợ đen, Coltuneac có thể kiếm rất nhiều tiền. Trên thị trường chợ xám, anh có thể bán các lỗ hổng phần mềm cho các quốc gia và các công ty để họ sử dụng nó chống lại đối thủ. Thị trường chợ đen trả giá cao nhất cho các lỗ hổng bởi đa số lỗ hổng được bán trực tiếp cho những tên tội phạm.

Zerodium, một công ty hợp tác với các cơ quan thực thi pháp luật và tình báo chuyên khai thác lỗ hổng trên thị trường chợ xám, sẵn sàng trả cho các hacker 500.000 USD trên một lỗ hổng nghiêm trọng.

Coltuneac bắt đầu săn lỗ hổng từ năm 15 tuổi trong thời gian rảnh sau giờ học sau khi tham dự một họp báo về an ninh mạng ở Rumani. Giống như hầu hết các hacker Rumani khác, anh tự học các kỹ năng hack. Ngay sau đó, anh nhận được vài trăm USD đầu tiên từ Google và sử dụng số tiền này để sắm máy tính mới bởi chiếc máy tính để bàn của anh chạy chậm như rùa.

"Tôi đã gặp may. Tôi tìm thấy một tập tin nhạy cảm. Tôi đã dùng phương pháp thử sai", anh nói.

Trong quá trình giám sát, săn lỗi, anh đặc biệt chú ý tới các gã khổng lồ công nghệ. Gần đây, anh phát hiện ra một lỗ hổng LFI và vài lỗ hổng XSS trong Google FeedBurner. Chỉ tính riêng năm ngoái, Google đã trả cho các nhà nghiên cứu bảo mật toàn cầu hơn 2 triệu USD và từ năm 2010 - năm chương trình săn lỗi nhận thưởng của Google được triển khai, tới nay hãng đã chi trả tổng cộng 6 triệu USD. Trong năm 2015, Google ghi nhận Rumani một trong số quốc gia nhận được nhiều tiền thưởng nhất.

Coltuneac cũng tham gia chương trình săn lỗi nhận thưởng Bounty Hunters: The Honor Roll của Microsoft. Mùa xuân năm nay, anh tìm thấy một lỗ hổng XSS trong giao diện OAuth của Microsoft. Microsoft cũng không ngừng nâng cao chương trình thưởng tiền cho các nhà nghiên cứu bảo mật. Năm ngoái, công ty này đã chi tiền cho các chuyên gia tìm thấy lỗ hổng trong Azure, ASP.NET, .NET Core runtime và trình duyệt Edge.

Từ năm 2013 tới nay, tổng cộng Microsoft đã trả cho các hacker mũ trắng 650.000 USD. Một khoản thưởng 110.000 USD đã được hãng này trao cho một nhà nghiên cứu vào năm ngoái khi anh này phát hiện ra lỗ hổng bảo mật trong phiên bản dùng thử của trình duyệt Edge.

"Trung bình các khoản thưởng cho các nhà nghiên cứu châu Âu là 6.000 USD, trong đó có một khoản thưởng trị giá 100.000 USD vừa được trao cho các nhà nghiên cứu ở Đức", Chri Betz, giám đốc cao cấp phụ trách Trung tâm Phản ứng Bảo mật của Microsoft chia sẻ.

Xu hướng mở

Coltuneac làm việc rất chăm chỉ. Ngoài việc trực tiếp theo dõi các công ty, anh còn sử dụng HackerOne và Bugcrowd, các nền tảng thiết lập những chương trình săn lỗi nhận thưởng. Một số nhà nghiên cứu hàng đầu làm việc trên hai nền tảng này tới từ Đông Âu, theo Kymberlee Price, giám đốc cao cấp phụ trách các hoạt động nghiên cứu của Bugcrowd. Có một sự thật khá thú vị là đôi khi các hacker mũ trắng giúp tăng cường bảo mật cho các trang web mà họ chẳng bao giờ dùng tới.

Theo Michiel Prins, đồng sáng lập Hackerone, các nước Đông Âu, bao gồm Rumani, rất có tiếng về chất lượng tin tặc ở châu Âu. Kết quả các chương trình gửi cho HackerOne đã chứng minh điều này. "200 hacker từ Đông Âu trong cộng đồng của chúng tôi đã thành công trong việc săn lỗi nhận thưởng, một số người còn nằm trong tốp 50 hacker kiếm được nhiều tiền thưởng nhất", Prins nói. Tính tới nay, theo Prins, các khách hàng của HackerOne đã vá 20.000 lỗ hổng bảo mật và trả cho 2.500 nhà nghiên cứu hơn 6,5 triệu USD.

Gần như toàn bộ các hãng trong ngành công nghiệp công nghệ cao hiện tại đều trả tiền thay vì thưởng cho các hacker mũ trắng áo thun, USB khi họ tìm thấy một lỗ hổng trong sản phẩm như ngày xưa. Đây là một động thái tuyệt vời bởi nó giúp tăng cường bảo mật và giữ chân các hacker tài năng trước những cám dỗ của thế lực bóng tối.

Nhưng đặc biệt hơn, với những người như Alex Coltuneac - hoặc bất kỳ ai đam mê an ninh mạng ở Đông Âu những người trước đây chỉ có cơ hội thực hiện các hành vi hack bất chính tại quốc gia của họ - đây là một thông tin tuyệt vời. Nhiều cơ hội săn lỗi nhận thưởng hơn đồng nghĩa với việc có nhiều đêm không ngủ hơn và nhiều tiền hơn. Và chẳng còn lý do gì thôi thúc họ phạm tội nữa.

Bây giờ là 7 giờ sáng ở Cluj-Napoca và Coltuneac đang nhâm nhi cốc cà phê của anh ấy. Anh đã sẵn sàng tới trường.

"Săn lỗi nhận thưởng là một cuộc phưu lưu tuyệt vời nhưng việc học luôn phải được ưu tiên hàng đầu", anh nói.

Tham khảo Wired