Các chương trình Bug Bounty (Săn lỗi nhận thưởng) từ nguồn lực cộng đồng đang là hình thức tìm kiếm lỗ hổng được một số tổ chức, doanh nghiệp (TC/DN) cân nhắc tham gia, nhằm nâng cao vị thế tình trạng bảo mật. Bài viết dưới đây sẽ trình bày hai ý kiến tích cực và tiêu cực về chương trình này của hai nhà nghiên cứu bảo mật tại Mỹ: Một người cho rằng việc tận dụng nguồn lực cộng đồng sẽ khiến không gian mạng được an toàn hơn, một người lại cho rằng nguồn lực cộng đồng là lãng phí, không mang lại hiệu quả và thiếu tài năng.

Ngày 18/10, Bộ TT&TT chính thức phát động Chương trình tìm kiếm lỗ hổng bảo mật (Bug Bounty) cho tất cả các nền tảng chuyển đổi số quốc gia. Đây là chương trình được mở rộng quy mô từ chiến dịch Tìm kiếm lỗ hổng bảo mật trên các nền tảng công nghệ phòng, chống dịch đã được phát động vào ngày 4/10.

Tại Việt Nam, hiện nay có khá nhiều người tham gia Bug Bounty và tìm kiếm lỗ hổng của các hãng bảo mật, hãng phần mềm trên thế giới trong nhiều năm. Hầu hết, các chương trình tìm kiếm được lỗ hổng là của các hãng phần mềm, các nền tảng Bug Bounty trên thế giới. Đã có nhiều chuyên gia bảo mật tại Việt Nam lọt vào top cao tại các bảng xếp hạng về số lượng lỗ hổng, cũng như tính nghiêm trọng của lỗ hổng tìm được của các nền tảng đó.

Ngày 25/8, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), Cục An toàn thông tin, Bộ TT&TT đã ra mắt chương trình tìm kiếm lỗ hổng bảo mật cho các nền tảng số hỗ trợ công tác phòng, chống dịch COVID-19.

Nền tảng tìm kiếm lỗ hổng bảo mật (Bug bounty) đã không còn là mô hình kết nối cộng đồng xa lạ tại các quốc gia trên thế giới trong lĩnh vực bảo mật và an toàn thông tin (ATTT). Với hình thức đa dạng, các nền tảng đã thu hút nhiều tổ chức, cá nhân tham gia với giá trị tiền thưởng lớn.

Vừa qua, các hãng công nghệ hàng đầu đã đưa ra các yêu cầu cũng như mức tiền thưởng cho chương trình Bug Bounty của mình trong năm 2021. Dưới đây là top 10 chương trình hấp dẫn dành cho các Bug Bounty Hunter.

Công ty An ninh mạng Viettel chính thức ra mắt nền tảng tìm kiếm lỗ hổng bảo mật SafeVuln. Với cam kết công khai - minh bạch - trách nhiệm, SafeVuln hứa hẹn sẽ trở thành sân chơi hàng đầu cho các chuyên gia an toàn thông tin và tổ chức/doanh nghiệp.

Trung tuần tháng 4/2020, công ty ứng dụng hội nghị truyền hình Zoom đã công bố kế hoạch cải tiến chương trình trao thưởng cho những phát hiện lỗi của Zoom, như là một phần của kế hoạch dài hạn để cải thiện mức độ bảo mật của dịch vụ này.

Mới đây, các nhà nghiên cứu của hãng Bảo mật mạng CheckPoint đã phát hiện ra lỗ hổng nghiêm trọng trong hàng triệu máy in văn phòng HP OfficeJet, cho phép kẻ tấn công chiếm quyền kiểm soát các máy in và sử dụng chúng như một công cụ để tấn công vào hệ thống mạng mà chúng đang kết nối.

Mới đây, nhà nghiên cứu Karan Saini, người Ấn Độ đã phát hiện ra lỗ hổng bảo mật quan trọng trong giao thức xác thực hai yếu tố (2FA) của Uber. Tuy nhiên, hãng này không có kế hoạch khắc phục, vì cho rằng đây không phải là “một báo cáo đặc biệt nghiêm trọng”.