Phát hiện lỗ hổng bảo mật, hacker được công ty tuyển luôn làm kỹ sư an ninh mạng

Neo,

Hồi tháng Sáu, Herdian Nugraha, một sinh viên năm nhất tại Đại học Nông nghiệp ở Bogor, Indonesia đã phát hiện ra một lỗ hổng bảo mật trên các trang web của một số startup nổi tiếng ở địa phương.

Cậu sinh viên đam mê bảo mật máy tính này không khai thác những lỗ hổng trên để đánh cắp dữ liệu hoặc phá hoại mà thay vào đó báo lỗi cho và đề nghị các công ty có những biện pháp khắc phục. Cậu đã đăng tải chi tiết về vụ hack và phản ứng của các startup với vấn đề vào đầu tuần này.

Săn lỗi nhận thưởng, một chân trời mới cho các hacker

Phương thức hack mà Herdian sử dụng không phải là mới. Trên blog của mình, cậu viết rằng sau khi tìm hiểu về lỗ hổng ImageTragick cậu muốn thử xem những trang web mình thường lui tới có lỗ hổng trên hay không.

Herdian (thứ hai từ bên phải sang) cùng nhóm của cậu đạt huy chương vàng cuộc thi bảo mật hệ thống máy tính

Hai trang web thương mại điện tử địa phương là Buklapak và Tokopedia đã trở thành mục tiêu của cậu và mục tiêu thứ ba là Sribu, một cộng đồng thiết kế.

Herdian đã tải lên một tập tin chứa mã độc thông qua trình tải hình ảnh của các trang web trên. Mã độc mà Herdian tải lên cho phép cậu dành quyền truy cập và giao tiếp với máy chủ của các công ty.

Sau khi Herdian báo lỗi, nhóm bảo mật của Bukalapak và Tokopedia đã mau chóng có những động thái phản ứng.

Cả hai công ty này đều đang triển khai chương trình săn lỗi nhận thưởng. Họ sẽ thưởng cho các hacker phát hiện ra lỗ hổng trong hệ thống của họ một số tiền nhất định, số tiền phụ thuộc vào độ nghiêm trọng của lỗ hổng. Đây là con đường mới, hợp pháp và tươi sáng cho các hacker thay vì dành quyền truy cập để đánh cắp dữ liệu hoặc phá hoại.

Herdian chia sẻ rằng cậu nhận được 1.146 USD từ Bukalapak và 764 USD từ Tokopedia. Đó là phần thưởng cực kỳ lớn với một sinh viên.

Herdian rất thích Tokopedia vì hãng này phản ứng rất nhanh, vá xong lỗ hổng chỉ trong 4 giờ. Trong khi đó, Bukalapak mất hai ngày để vá lỗ hổng.

Sribu không vá lỗi trong thời điểm Herdian công bố thông tin vụ hack.

Ngay cả Facebook cũng từng bị hack

Săn lỗi nhận thưởng là phương thức hợp tác thông minh giữa các gã khổng lồ công nghệ và hacker. Một số hãng công nghệ lớn, như Microsoft, tổ chức các cuộc thi khuyến khích hacker tấn công vào hệ thống của họ. Ngay cả Facebook cũng vẫn có những lỗ hổng trong phần mềm.

Achmad Zaky CEO của Bukalapak

Bukalapak ngay lập tức biến nhược điểm thành ưu thế bằng cách tuyển Herdian vào vị trí kỹ sư an ninh mạng. Chương trình săn lỗi nhận thưởng của hãng này đã biến thành một kênh tuyển dụng.

Cả Bukalapak và Tokopedia đều là những startup huy động được nhiều vốn nên họ dễ dàng thuê những kỹ sư hàng đầu và thưởng cho các hacker như Herdian.

Tuy nhiên các startup nhỏ tự bảo vệ mình như thế nào? Sribu có vẻ như không có một hệ thống phản ứng nhanh mặc dù hiện tại lỗ hổng trong hệ thống của họ đã được vá.

Tham khảo Tech In Asia

Gặp gỡ hacker tuổi teen chuyên săn lỗi kiếm tiền nuôi dưỡng sự nghiệp chống lại các thế lực đen tối

Theo Trí Thức TrẻCopy link

Link bài gốcLấy link

Tags: