Sau khi bị Google "vả" 2 phát liên tiếp vào mặt, Microsoft treo thưởng 30.000 USD để tìm lỗi trên dịch vụ của mình

    Tuấn Hưng,  

    Có vẻ như Microsoft rất "cay cú" sau khi nhận 2 đòn này từ phía ông lớn công cụ tìm kiếm nên phải tìm kiếm biện pháp "đỡ đòn".

    Trong một vài tuần gần đây, Google đã “vả vào mặt” Microsoft hai lần bằng cách tiết lộ thông tin về lỗ hổng bảo mật trên Windows 10 trước khi Microsoft có thể vá chúng trong bản cập nhật mới.

    Gã khổng lồ phần mềm này giờ đây đã đáp trả bằng cách treo thưởng cho việc tìm kiếm bug trong thời gian ngắn, điều này đồng nghĩa với với các chuyên gia an ninh có thể kiếm được 30.000 USD nếu như họ tìm thấy một lỗi trong các dịch vụ mà Microsoft cung cấp từ ngày 1/3 đến 31/5 năm nay.

    Việc có được sự trợ giúp đến từ các nhà nghiên cứu sẽ giúp Microsoft nắm quyền kiểm soát và ngăn chặn việc bị rò rỉ thông tin, đồng thời ưu tiên sửa chữa chúng trước.

    Microsoft sẽ trao thưởng cho các lỗi được tìm thấy trên các dịch vụ có domains sau:

    portal.office.com

    outlook.office365.com

    outlook.office.com

    *.outlook.com

    outlook.com

    Danh sách có tổng cộng 18 domains và 37 URL khác.

    Microsoft muốn các chuyên gia phân loại bug thành 9 dị bản, bao gồm:

    Cross Site Scripting (XSS, là một kiểu tấn công cho phép hacker chèn những đoạn script độc hại (thông thường là javascript hoặc HTML) vào website và sẽ được thực thi ở phía người dùng trong trình duyệt của họ)

    Cross Site Request Forgery (CSRF, là kỹ thuật tấn công bằng cách sử dụng quyền chứng thực của người dùng đối với một website)

    Phá hỏng hoặc truy cập dữ liệu trái phép (dành cho những dịch vụ thuê)

    Insecure direct object references (Lỗ hổng này xảy ra khi chương trình cho phép người dùng truy cập tài nguyên, ví dụ như dữ liệu, file, thư mục, database, một cách bất hợp pháp, thông qua dữ liệu do người dùng cung cấp)

    Injection Vulnerabilities (Lỗ hổng ở các tập tin thêm vào)

    Authentication Vulnerabilities (Lỗ hổng trong khâu xác thực)

    Server-side Code Execution (Thực hiện Code ở Sever-side)

    Privilege Escalation (Sau khi khai thác các lỗ hổng và được truy cập vào các máy tính mục tiêu, các công cụ trong loại này có thể sử dụng để leo thang đặc quyền)

    Significant Security Misconfiguration (Chỉ xử lý nếu không phải do người dùng gây ra)

    Mặc dù nghe 30.000 USD nghe có vẻ nhiều, tuy nhiên những chuyên gia này hoàn toàn có thể “cá kiếm” được số tiền lớn hơn rất nhiều khi rao bán nó trên Dark Net (chợ đen của Internet), Zero Day (thuật ngữ chỉ sự tấn công hay các mối đe dọa khai thác lỗ hổng của ứng dụng trong máy tính cái mà chưa được công bố và chưa được sửa chữa) có giá trị lên tới 200.000 USD.

    Không dừng lại ở đó, nếu tiếp tục phát triển nó trở thành malware – phần mềm độc hại và sử dụng nó như một nền tảng dịch vụ đen thì số tiền còn nhân lên gấp nhiều lần. Dĩ nhiên đây là hành động vi phạm pháp luật.

    Những người có kiến thức chuyên giâu về lĩnh vực này nhưng không mang trong mình tâm địa xấu xa, trục lợi từ những lỗ hổng an ninh của các phần mềm có thể tham khảo hệ thống “săn tiền thưởng” của Microsoft tại đây.

    Theo MSpoweruser

    Tin cùng chuyên mục
    Xem theo ngày

    NỔI BẬT TRANG CHỦ