Quá lo vì tính an toàn cho người dùng, thanh niên 18 tuổi này vẫn chia sẻ lỗ hổng bảo mật với Apple dù không có tiền thưởng

Tháng trước, sau khi một thanh niên 18 tuổingười Đức tuyên bố đã xác định một lỗ hổng bảo mật trên MacOS để truy cập vào mật khẩu và thông tin người dùng lưu trữ trên Keychain, nhưng không muốn chia sẻ thông tin với Apple vì không có chương trình tiền thưởng lỗi. Cuối cùng, anh này quyết định vẫn cung cấp thông tin cho Apple mà không cần khoản thưởng nào.

Linus Henze đã chia sẻ phát hiện của mình trên một đoạn video YouTube đăng tải vào ngày 3 tháng Hai. Nhưng anh cho biết, tại thời điểm đó mình chưa có ý định chia sẻ về cách khai thác với Apple. Quyết định này dựa trên việc người khổng lồ công nghệ này dù có chương trình tiền thưởng lỗi cho iOS, nhưng lại không có cho MacOS. Henze viết rằng, anh hy vọng “đến một lúc nào đó, điều này sẽ buộc Apple phải mở chương trình tiền thưởng lỗi.” Nhưng điều đó đã không xảy ra.

Henze cho biết, mình đã liên hệ với Apple về cách khai thác bảo mật này vào ngày 5 tháng Hai, thời điểm anh cho biết mình sẵn sàng gửi cách khai thác và bản vá nếu công ty cung cấp một tuyên bố chính thức về việc tại sao họ lại không có chương trình tiền thưởng lỗi cho MacOS. Anh cho biết, sau khi không nhận được phản hồi từ công ty, anh đã gửi lại yêu cầu đó đến nhóm bảo mật của Apple.

Vào thứ Năm vừa qua, Henze đăng tải dòng tweet cho biết, mình đã gửi thông tin cho Apple “ngay cả khi họ không phản hồi lại, vì lỗ hổng này rất nghiêm trọng và bởi vì tính bảo mật cho những người dùng MacOS là điều rất quan trọng đối với tôi.”

Email Henze gửi cho nhóm bảo mật của Apple.

Chương trình tiền thưởng lỗi cho iOS đã ra mắt khoảng vài năm nay, nhưng ngay như vậy, nó cũng không hoàn hảo. Ban đầu, những người quan tâm đến vấn đề này nhận thấy những lỗi đó quá giá trị so với việc thông báo trực tiếp với công ty. Theo Motherboard, chuyên gia bảo mật Nikias Bassen của công ty Zimperium từng cho biết rằng, các nhà nghiên cứu có thể “kiếm được nhiều tiền hơn nếu họ bán được các lỗi đó cho người khác.”

Tuy nhiên, theo Keith Hoodlet, kỹ sư bảo mật từ nền tảng an ninh mạng Bugcrowd cho biết vào năm 2017 rằng, Apple có thể “được hưởng nhiều lợi ích từ việc có một chương trình tiền thưởng lỗi rộng rãi hơn, thay vì chỉ dành cho các nền tảng iCloud hoặc iOS” như hiện nay. Lượng người dùng Mac đang tăng dần dù vẫn còn rất nhỏ, nhưng việc Apple không ra mắt chương trình này sẽ khiến nhiều người dùng phải gánh chịu rủi ro vì điều đó.

Tham khảo Gizmodo