Bug Bounty - 'nghề 'độc' nước ngoài giúp kiếm cả triệu USD mỗi năm vừa có mặt tại Việt Nam

Vừa qua, Bộ Thông tin và Truyền thông (TT&TT) đã tổ chức Chương trình phát động chiến dịch tìm kiếm lỗ hổng bảo mật cho các nền tảng công nghệ chống dịch. Trong đó, có một nội dung đáng chú ý liên quan đến nền tảng được gọi là BugRank.

Đây là một chương trình do VnSecurity kết hợp cùng Trung tâm Giám sát an toàn An ninh mạng quốc gia (NCSC) phát triển. Trên BugRank, các chuyên gia bảo mật sẽ báo cáo những lỗ hổng tìm được ở hệ thống của các doanh nghiệp và nhận thưởng - được gọi là Bug Bounty.

Theo chia sẻ của người đại diện, sau hơn một tháng triển khai, chương trình Bug Bounty của BugRank đã thu hút sự tham gia của hơn 88 chuyên gia bảo mật với tổng tiền thưởng được trao là 48 triệu đồng. Các chuyên gia này thông báo 81 lỗi trên hàng loạt nền tảng chống dịch như PC-Covid, tokhaiyte.vn, tiemchungcovid19.gov.vn, ứng dụng Bluezone, Sổ sức khỏe điện tử...

Hiện ở Việt Nam, BugRank chưa phổ biến. Tuy nhiên, với nhiều quốc gia trên thế giới, việc tìm lỗ hổng bảo mật của các doanh nghiệp và nhận được tiền thưởng đã xuất hiện từ rất lâu.

Bug Bounty là gì?

Bug Bounty hay Bug Bounty Program là một thuật ngữ trong ngành IT, dùng để chỉ phần thưởng hoặc tiền thưởng cho những cá nhân, tổ chức có thể tìm kiếm lỗi trên các trang web, ứng dụng của các doanh nghiệp. Nhiều công ty trên thế giới áp dụng hình thức này để thúc đẩy việc tìm ra các lỗ hổng, qua đó cải tiến sản phẩm và nhận được nhiều tương tác hơn từ người dùng cuối lẫn khách hàng.

Các công ty vận hành Bug Bounty Program có thể nhận được cả trăm báo cáo về lỗi, bao gồm cả lỗi bảo mật lẫn lỗi hệ thống. Người báo sẽ nhận phần thưởng có giá trị dựa trên mức độ nghiêm trọng từ những lỗi mà họ tìm được, theo Techopedia.

Phần lớn các khoản Bug Bounty thường ít bị ràng buộc về mặt pháp lý hơn những gì chúng ta có thể nghĩ. Những người tìm ra các lỗ hổng bảo mật có quyền yêu cầu không công khai danh tính, vì vậy tại nhiều quốc gia, Bug Bounty được coi là hình thức kiếm tiền hợp pháp.

Theo Transfotech Academy, có nhiều người nghĩ rằng những chuyên gia tìm kiếm lỗi bảo mật hệ thống có thể kiếm tiền một cách dễ dàng và tất cả họ đều giàu có. Tuy nhiên, để làm được điều đó, những "thợ săn tiền thưởng"(biệt danh của những người kiếm tiền từ Bug Bounty) cần liên tục trau dồi kiến thức, phát triển bản thân bởi công nghệ thay đổi từng ngày, từng giờ. Nếu không theo kịp xu hướng, họ sẽ bị bỏ lại phía sau.

Theo BBC, những hacker mũ trắng (thuật ngữ chỉ những hacker có mục đích tốt) có thể kiếm được khoảng 350.000 USD/năm. Trong khi đó, các doanh nghiệp áp dụng hình thức Bug Bounty có thể trả cho những người tìm lỗi khoảng trung bình 50.000 USD/tháng, tương đương 1 triệu USD/năm. Tất nhiên, con số này còn dựa vào mức độ nghiêm trọng của các lỗi mà họ tìm thấy.

Việc kiếm tiền từ quá trình tìm kiếm lỗi hệ thống không hề đơn giản, đòi rất nhiều yếu tố khác nhau, từ chuyên môn cho đến sự kiên nhẫn,… Theo Microsoft, kể cả khi đã tìm ra lỗi, phần thưởng phải mất trung bình từ 1 đến 3 tháng để xử lý nếu các doanh nghiệp không sử dụng những nền tảng chuyên nghiệp như HackerOne hay BugCrowd.

Theo trang An toàn thông tin, HackerOne và BugCrowd cũng là những nền tảng Bug Bounty hàng đầu thế giới hiện nay. Trong đó, HackerOne được sử dụng bởi những tên tuổi nổi tiếng như Google Play, PayPal, GitHub, Starbucks… Hàng năm, HackerOne sẽ công bố Báo cáo Top 10 các chương trình bào mật công khai trên nền tảng này.

Năm 2020, Chương trình Verizon Media đứng đầu với 1.315 người chơi tham dự có tổng tiền thưởng lên tới 9.408.000 USD. Đứng thứ 2 là PayPal với 371 người chơi và 2.790.000 USD. Một chương trình khác cũng thu hút 635 người chơi xếp ở vị trí thứ 3 là Uber với tổng giá trị tiền thưởng là 2.415.000 USD.

Ngoài ra, những nền tảng Bug Bounty hàng đầu khác hiện nay có thể kể đến như YesWeHack, Intigriti hay Synack.

Bug Bounty – xu hướng mới tại Việt Nam?

Theo ông Nguyễn Lê Thành, trưởng nhóm VnSecurity cho biết Bug Bounty là xu hướng phổ biến trên thế giới, là nơi kết nối giữa doanh nghiệp và người làm an toàn thông tin để họ có thể báo cáo những lỗ hổng đối với những hệ thống của doanh nghiệp giúp doanh nghiệp khắc phục trước khi có những hậu quả.

Tuy nhiên, tại Việt Nam, những nền tảng tương tự chưa thực sự quá phổ biến. Trước BugRank, trong năm 2020, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An Toàn Thông Tin) phối hợp phát triển cùng Công ty CP An Ninh Mạng VSEC chính thức ra mắt nền tảng kết nối cộng đồng hacker mũ trắng lớn nhất Việt Nam - Vietnam Bug Bounty. Tên miền ban đầu là Bugbounty.vn, hiện được đổi thành canhbao.ncsc.gov.vn

Theo ông Thành, những nền tảng nước ngoài tuy phổ biến nhưng đều là sàn thương mại, tức doanh nghiệp phải trả tiền để đưa phần mềm của mình lên sàn đó và kết nối với các chuyên gia nghiên cứu về bảo mật an toàn thông tin. Số tiền doanh nghiệp phải trả có thể từ vài chục tới vài trăm ngàn đô mỗi năm.

Do đó, những nền tảng miễn phí như BugRank hay Vietnam Bug Bounty có thể mở ra xu hướng mới cho các hacker mũ trắng trong nước. Trong thời gian tới, sau giai đoạn thử nghiệm, BugRank sẽ mở cho các doanh nghiệp trong nước tiếp tục đăng ký. Tương lai xa, sau khi triển khai tại Việt Nam, BugRank sẽ xúc tiến triển khai tại Hong Kong, Malaysia và một số quốc gia khác.

Đại diện Bộ Thông tin & Truyền thông cũng khuyến khích các chuyên gia tìm kiếm lỗ hổng bảo mật trên những nền tảng chống dịch, đặc biệt tập trung vào hai ứng dụng PC-COVID và Sổ sức khỏe điện tử, qua đó xây dựng các ứng dụng an toàn, tiện lợi để sớm đưa cuộc sống trở lại bình thường sau thời gian dịch bệnh kéo dài.