Một công ty bí ẩn sẵn sàng trả đến 3 triệu USD cho mỗi lỗ hổng zero-day trên Android - Liệu bạn có bán không?

Nếu bạn tình cờ tìm thấy một lỗ hổng zero-day có thể khai thác trên Android (nghĩa là một lỗi hay một lỗ hổng mà Google chưa biết tới), một công ty có tên gọi Crowdfense sẵn sàng trả bạn tới 3 triệu USD cho thông tin đó. Phải, bạn không nhầm đâu, đó chính là 3 triệu USD đấy!

Nghe thật tuyệt, phải không? Vấn đề duy nhất chưa rõ ở đây là Crowdfense sẽ làm gì sau đó với lỗ hổng này. Công ty thừa nhận rằng mình sẽ bán lỗ hổng cho các tổ chức khác, nhưng vẫn chưa rõ đó là tổ chức nào và để làm gì.

Website của Crowdfense mô tả công ty này như “một trung tâm nghiên cứu lỗ hổng hàng đầu thế giới” có thể “đánh giá khả năng phòng thủ trực tuyến tinh vi hiệu quả” và sau đó “đưa chúng tới một nhóm được lựa chọn cẩn thận các khách hàng tổ chức toàn cầu”. Nói cách khác, công ty tìm kiếm các lỗ hổng trong những hệ thống quan trọng và sau đó bán thông tin cho các tổ chức chưa được tiết lộ.

Trong khi Crowdfense có thể là một công ty có đạo đức, chỉ sử dụng các thông tin về lỗ hổng có thể khai thác được cung cấp để làm những điều có ích cho thế giới, thật khó mà không hình dung rằng, một công ty ở vị trí như của họ sẽ bán rẻ các lỗ hổng phần mềm cho bất kỳ ai sẵn sàng trả giá cao nhất, để có thể đặt bất kỳ người nào đang sử dụng phần mềm đó vào rủi ro. Hơn hết, mức giá mà họ bỏ ra để mua chúng lên đến hàng triệu USD, có nghĩa là sẽ chỉ có một số ít các khách hàng tiềm năng có thể mua lại chúng.

Để dễ so sánh, bản thân Google cũng đưa ra chương trình săn tiền thưởng cho các lỗ hổng trên Android. Nhưng số tiền mà Google sẵn sàng chi trả chỉ đến con số hàng nghìn USD, không mấy hào phóng nếu so với hàng triệu USD của Crowdfense.

Crowdfense không chỉ tìm kiếm các lỗ hổng trên Android, họ còn sẵn sàng trả từ hàng trăm nghìn cho tới hàng triệu USD cho các lỗ hổng zero-day có liên quan đến iOS, Windows và macOS.

Theo trả lời của giám đốc Crowdfense, Andrea Zapparoli Manzoni, với trang Motherboard, công ty có số tiền 10 triệu USD trong ngân hàng, đang được kiểm soát từ trụ sở chính của công ty tại UAE. Manzoni thừa nhận rằng các khách hàng của Crowdfense là các cơ quan “thực thi pháp luật hoặc tình báo” đang tìm kiếm các công cụ “nhằm thu thập thông tin tình báo.” Vì vậy dường như điểm đến của các lỗ hổng này sẽ là các tổ chức chính phủ, nhưng đó sẽ là chính phủ nào?

Khi thế giới chúng ta đang trở nên càng ngày càng kết nối hơn, các lỗ hổng phần mềm cũng sẽ trở nên càng ngày càng nguy hiểm hơn. Nếu bạn tìm thấy một điểm yếu của bất kỳ loại phần mềm nào, hãy cẩn trọng với bất kỳ tổ chức hay cá nhân nào mà bạn chia sẻ thông tin đó.

Tham khảo Android Authority