Google trong một năm vừa qua đã ghi nhận các hoạt động tìm lỗ hổng bảo mật đổi thưởng vô cùng sôi động. Trong đó, có những người đã lĩnh những khoản tiền thưởng lên tới 157.000 USD từ gã khổng lồ công nghệ Mỹ.
Google trả thưởng chương trình tìm lỗi năm 2021
Mối quan tâm đến các chương trình thưởng cho những người tìm ra các lỗ hổng bảo mật (bug bounty program) đang tăng lên khi làm việc từ xa trở nên phổ biến khiến tấn công mạng, khai thác lỗ hổng gia tăng.
Các chương trình tìm lỗi đổi thưởng từ lâu đã trở thành một giải pháp hiệu quả giúp các công ty lớn có thể nhanh chóng phát hiện được các lỗi bảo mật và khắc phục sớm.
Báo cáo Hacker năm 2021 của nền tảng trao thưởng cho những phát hiện lỗi bảo mật HackerOne nêu chi tiết sự tiến triển của thử nghiệm thâm nhập, tấn công có đạo đức trong 12 tháng qua và cho biết số lượng tin tặc gửi báo cáo lỗ hổng bảo mật đã tăng 63% trong suốt thời gian này.
Mục tiêu của các chương trình trao thưởng là khuyến khích các tin tặc có đạo đức hay còn gọi là tin tặc mũ trắng phát hiện và tiết lộ các lỗ hổng này trước khi tội phạm mạng lợi dụng chúng. Chỉ trong năm ngoái, các tin tặc có đạo đức đã nhận được 40 triệu USD từ chương trình thưởng cho những báo cáo lỗi bảo mật HackerOne, tăng từ 19 triệu USD vào năm 2019.
Trong năm qua, Google đã trả không dưới 8,7 triệu USD tiền thưởng cho các phát hiện lỗi và đây là một kỷ lục mới. Tất nhiên Google phát hành nhiều mốc tiền thưởng khác nhau cho tổng số 696 nhà nghiên cứu ở 62 quốc gia.
Android VRP đã chứng kiến khoản thanh toán cao nhất trong lịch sử của nó, với một chuỗi khai thác trong Android nhận được phần thưởng là 157.000 đô la. Tổng số tiền được cung cấp làm phần thưởng cho các nhà nghiên cứu bảo mật Android là gần 3 triệu đô la. Giải thưởng cao nhất trị giá 1,5 triệu USD đã được trao cho màn xâm phạm chip Bảo mật Titan-M trên các thiết bị Pixel. Tương tự, các nhà nghiên cứu bảo mật của Chrome đã mang về 3,3 triệu đô la phần thưởng VRP, mức cao nhất trong lịch sử của chương trình, phần thưởng cao nhất được trao lên tới 45 ngàn USD.
Trong blog của mình, Google đã nêu bật một số công cụ tìm lỗi hàng đầu vào năm 2021. Đối với nền tảng Android, Aman Pandey của Bugsmirror Team đã trở thành nhà nghiên cứu hàng đầu, chỉ tính riêng năm ngoái đã gửi 232 lỗ hổng bảo mật. Yu-Cheng Lin đã phát hiện ra 128 lỗ hổng trong chương trình vào năm 2021. Kỷ lục 157.000 USD VRP của Android đã được nhà nghiên cứu [email protected] giành được.
Tương tự, đối với Chrome, Rory McNamara đã trở thành “nhà nghiên cứu Chrome VRP được trao giải thưởng cao nhất mọi thời đại” sau khi báo cáo tổng cộng sáu lỗ hổng, một trong số đó đã giúp anh nhận được số tiền thưởng cao nhất cho một báo cáo lỗi Chrome duy nhất vào năm 2021, ở mức 45.000 đô la. Leecraso của Viện nghiên cứu lỗ hổng 360 là nhà nghiên cứu được trao giải thưởng cao nhất trong năm, với 18 báo cáo lỗi hợp lệ.
Google cho biết họ đã trả không dưới 3,1 triệu USD cho các lỗi bảo mật trong trình duyệt và 250,5 ngàn USD đã được trao cho các nhà nghiên cứu về hệ điều hành ChromeOS.
Năm vừa qua, tiền thưởng trao cho các lỗi phát hiện trên Google Play cũng lên tới 550 ngàn USD và đã có tổng cộng 60 nhà nghiên cứu được trả thưởng vào năm ngoái.
Thêm một cú đấm vào Facebook: Google theo sau Apple trong việc triển khai hệ thống bảo vệ quyền riêng tư của người dùng trên Android