Săn trăm nghìn USD tiền thưởng từ lỗ hổng bảo mật

Trong năm 2002, khi nhắc đến Tommy DeVoss, nhiều người lập tức nghĩ đến một hacker khét tiếng bị FBI truy lùng, bị căm ghét do tấn công vào website chính phủ, cơ quan, tổ chức, doanh nghiệp, trong đó có cả "ông lớn" Internet thời đó là Yahoo!.

Nhưng 10 năm sau, nhiều tổ chức lớn sẵn sàng trả cho DeVoss hàng chục ngàn USD, thậm chí trăm ngàn USD để người này tấn công hệ thống.

Lý do là, việc phát hiện lỗ hổng bảo mật mang lại cho hacker này nhiều tiền hơn là làm việc với tư cách một nhà phát triển. Ngày nay, những công ty nhỏ cần chuyên gia tư vấn an toàn dữ liệu, trong khi công ty lớn hơn cũng cần tăng thêm an ninh cho hệ thống. Đó là nhu cầu thiết yếu của một doanh nghiệp.

Khi còn tuổi thiếu niên, DeVoss đã bắt đầu đột nhập vào các website chính phủ và lấy đi rất nhiều dữ liệu. Nhóm hacker World of Hell có DeVoss là thành viên đã can thiệp hơn 160 website, trước khi bị FBI truy nã và tan rã năm 2003. Bản thân DeVoss ngồi tù nhiều năm.

Sau khi ra tù, DeVoss may mắn được nhận vào một công ty phát triển phần mềm nhỏ. Sau khi mày mò, anh đã phát hiện một lỗi trong Facebook. Sau đó, anh tiếp tục tìm lỗi trên các dịch vụ trực tuyến khác.

"Thật khó tin, họ trả tiền cho tôi, không gọi FBI nữa", DeVoss kể lại.

Những khoản thưởng đầu tiên làm DeVoss hứng thú. Thế nhưng, anh đã phải đấu tranh với chính mình trong thời gian dài trước khi làm một chuyên gia phát hiện lỗ hổng bảo mật. Anh chấp nhận từ bỏ mức thu nhập 90.000 USD mỗi năm của một nhà phát triển để đi săn lỗi toàn thời gian.

Năm 2015, DeVoss đến Defcon - cuộc thì tìm lỗ hổng bảo mật lớn nhất thế giới dành cho hacker được tổ chức thường niên tại Las Vegas (Mỹ) - và kiếm được 300 USD từ phát hiện của mình trên website Yahoo!. "Tôi đã kiếm được 300 USD từ việc tìm kiếm trên Google", anh hài hước cho biết.

Nhưng đây cũng là số tiền mang tính bước ngoặt khi nhiều người biết đến anh. Sau đó, đã có công ty trả 9.000 USD cho một lỗ hổng bảo mật duy nhất. Hiện nay, mỗi năm anh thu về hơn 100.000 USD, riêng tháng 7 vừa qua anh đã nhận được 84.000 USD cho phát hiện của mình.

DeVoss chưa phải là hacker "mũ trắng" kiếm tiền nhiều nhất từ săn lỗi bảo mật. Mark Litchfield mỗi năm kiếm khoảng nửa triệu USD (riêng 2016 ông kiếm được 600.000 USD). Nhiều hacker khác thu nhập thấp hơn một chút nhưng tổng tiền thưởng mỗi năm cũng không phải là ít.

Trên thực tế, những tay săn lỗi bảo mật luôn bận rộn vì nhu cầu từ chính phủ, tổ chức và doanh nghiệp rất cao. Ngay cả những công ty hàng đầu thế giới như Google, Apple, Facebook , Chrysler, United Airlines... thậm chí là Bộ Quốc phòng Mỹ cũng thường tổ chức các cuộc thi tìm lỗi dù sở hữu đội ngũ chuyên gia bảo mật hùng hậu và rất giỏi chuyên môn. Theo thống kê của Bugcrowd, số tiền chi cho hoạt động tìm lỗi tại Mỹ trong 2016 lên tới 6,3 triệu USD, với hơn 52.000 lỗ hổng được phát hiện.

"Điều này giống như thuê trộm về để xem nhà mình có dễ bị đột nhập hay không", một chuyên gia cho biết.

Như vậy, nếu hệ thống càng dễ bị khai thác thì nguy cơ mất an toàn bảo mật càng cao, từ đó tiền thưởng thu về càng nhiều. Tất nhiên, nó không là gì so với thiệt hại khi bị kẻ xấu lợi dụng.

Nhưng không phải ai cũng "liều mình" tập trung săn lỗi như DeVoss hay Litchfield. Số liệu Bugcrowd chỉ ra rằng, trong khoảng 53.000 "thợ săn" đang hoạt động mỗi tháng, chỉ khoảng 15% hoạt động toàn thời gian. Đa phần họ đều không muốn từ bỏ nghề mình đang làm để chuyển qua công việc săn lỗi bấp bênh hơn.

Điều mà "thợ săn" lo sợ nhất, chính là việc tìm lỗi bị trùng lặp. Litchfield kể lại, năm 2015, anh từng phát hiện một lỗi của PayPal và được thưởng 15.000 USD. Vài ngày sau đó, nhóm hoạt động độc lập khác tìm thấy lỗi tương tự và được thưởng 5.000 USD "an ủi".

"Trong hầu hết các trường hợp, việc tìm ra lỗi trùng lặp sẽ không được thưởng. Nó xảy ra với bất cứ 'thợ săn' nào và ai gặp phải cũng có thể mang cảm giác bực bội một cách ghê gớm vì đã bỏ nhiều công sức và thời gian nhưng không thu được gì", Litchfield nhấn mạnh.

Tuy vậy, theo thống kê của HackerOne, tổ chức chuyên vận hành rất nhiều chương trình săn thưởng cho nhiều công ty lớn như Yahoo!, Twitter, Google, Facebook, Microsoft…các "thợ săn" vẫn còn rất nhiều đất diễn. Có tới 94% trong tổng số 2.000 công ty lớn nhất thế giới theo xếp hạng của Forbes đang đối mặt với nguy cơ cao bị hacker tấn công. Do đó việc phát hiện lỗ hổng bảo mật vẫn là "mỏ vàng" cần được khai thác.

Theo Bảo Lâm (VnExpress.net)