Các công ty tạo chương trình Bug Bounty để cung cấp các ưu đãi tài chính cho những người phát hiện ra các lỗ hổng bảo mật và điểm yếu trong hệ thống.
Bug Bounty là gì?
Bug Bounty là phần thưởng bằng tiền được trao cho các hacker vì đã phát hiện và báo cáo thành công lỗ hổng hoặc lỗi cho nhà phát triển ứng dụng. Các chương trình bug bounty cho phép các công ty tận dụng cộng đồng hacker để cải thiện tình trạng bảo mật hệ thống theo thời gian thực.
Hacker trên khắp thế giới săn lùng lỗi để kiếm phần phần thưởng và họ có thể xem đó là công việc kiếm thu nhập toàn thời gian . Các chương trình bug bounty thu hút nhiều kiểu hacker với các bộ kỹ năng và chuyên môn khác nhau, giúp doanh nghiệp có lợi thế hơn so với các thử nghiệm sử dụng các nhóm team bảo mật ít kinh nghiệm hơn để xác định các lỗ hổng.
Các chương trình bug bounty thường bổ sung cho kiểm thử xâm nhập thường xuyên và giúp kiểm tra tính bảo mật của ứng dụng trong suốt vòng đời phát triển.
Cách thức hoạt động của Bug Bounty
Các doanh nghiệp bắt đầu các chương trình bug bounty trước tiên phải đặt phạm vi và ngân sách cụ thể. Phạm vi xác định những hệ thống mà hacker có thể kiểm tra và phác thảo cách tiến hành kiểm tra. Ví dụ: một số tổ chức không cho phép hacker thử nghiệm những mảng gây ảnh hưởng đến hoạt động kinh doanh hàng ngày.
Bug Bounty cho cộng đồng hacker biết rằng công ty rất nghiêm túc trong vấn đề bảo mật. Mức thưởng các chương trình đưa ra dựa trên mức độ nghiêm trọng của các lỗ hổng và phần thưởng tăng lên khi tác động tiềm ẩn tăng lên.
Tuy nhiên, tiền thưởng không phải là động lực duy nhất của cộng đồng hacker. Các hệ thống như bảng xếp hạng công nhận các khám phá của hacker giúp họ xây dựng danh tiếng của mình.
Sau khi phát hiện lỗi, họ sẽ điền vào một báo cáo tiết lộ chi tiết chính xác lỗi đó là gì, ảnh hưởng đến ứng dụng như thế nào và mức độ nghiêm trọng. Hacker bao gồm các bước và chi tiết chính để giúp các nhà phát triển xác thực lỗi. Sau khi các nhà phát triển xem xét và xác nhận lỗi, công ty sẽ trả tiền thưởng cho hacker.
Ví dụ về chương trình bug bounty
Một số thương hiệu lớn trên thế giới sử dụng các chương trình bug bounty để giữ an toàn cho các ứng dụng và khách hàng.
SHOPIFY
Shopify cung cấp dịch vụ thương mại điện tử cho hơn nửa triệu doanh nghiệp trên toàn cầu, đảm bảo an ninh là ưu tiên hàng đầu cho sự thành công của doanh nghiệp Shopify. Cho đến nay, Shopify đã trả hơn 1.580.000 USD tiền thưởng cho hacker và trả tới 30.000 USD cho các báo cáo các lỗ hổng nghiêm trọng.
Vào tháng 12/2020 , một hacker đã phát hiện ra một lỗ hổng nghiêm trọng cho phép truy cập trái phép vào tài khoản người bán. Hacker thông báo cho Shopify rằng họ có thể vá lỗi kịp thời cho Đêm Giáng sinh, một trong những ngày mua sắm lớn nhất trong thương mại điện tử. Hacker sau đó được thưởng 15.000 USD cộng với 250 USD tiền thưởng thêm.
YELP
Yelp kết nối người tìm kiếm với các doanh nghiệp trên toàn thế giới. Yelp đã sử dụng HackerOne từ năm 2014 để quản lý chương trình bug bounty. Đến nay, Yelp đã sử dụng chương trình bug bounty để khắc phục hơn 300 lỗ hổng và tiếp tục bổ sung các ứng dụng và domain vào lộ trình tìm kiếm lỗ hổng của mình.
MAIL.RU Group
Kể từ năm 2014, chương trình bug bounty của MAIL.RU GROUP đã giải quyết hơn 4.300 lỗ hổng. Gần đây, MAIL.RU GROUP chi hơn 1 triệu USD cho những hacker đã giúp Mail.ru bảo mật dịch vụ lưu trữ email của họ.