Săn lỗ hổng bảo mật – Nghề ‘hái ra tiền’ của các Hacker mũ trắng

“Thật khó tin, họ trả tiền cho tôi, không gọi FBI nữa”, DeVoss kể lại.

Những khoản thưởng đầu tiên làm DeVoss hứng thú. Thế nhưng, anh đã phải đấu tranh với chính mình trong thời gian dài trước khi làm một chuyên gia phát hiện lỗ hổng bảo mật. Anh chấp nhận từ bỏ mức thu nhập 90.000 USD mỗi năm của một nhà phát triển để đi săn lỗi toàn thời gian.

Năm 2015, DeVoss đến Defcon, cuộc thi tìm lỗ hổng bảo mật lớn nhất thế giới dành cho hacker được tổ chức thường niên tại Las Vegas (Mỹ), và kiếm được 300 USD từ phát hiện của mình trên website Yahoo!. “Tôi đã kiếm được 300 USD từ việc tìm kiếm trên Google“, anh hài hước cho biết.

Đây cũng là số tiền mang tính bước ngoặt khi nhiều người biết đến anh. Sau đó, đã có công ty trả 9.000 USD cho mỗi lỗ hổng bảo mật. Hiện nay, mỗi năm anh thu về hơn 100.000 USD, riêng tháng 7 vừa qua anh đã nhận được 84.000 USD cho phát hiện của mình.

DeVoss chưa phải là hacker “mũ trắng” kiếm tiền nhiều nhất từ săn lỗi bảo mật. Mark Litchfield mỗi năm kiếm khoảng nửa triệu USD (riêng 2016 ông kiếm được 600.000 USD). Nhiều hacker khác thu nhập thấp hơn một chút nhưng tổng tiền thưởng mỗi năm cũng không phải là ít.

Trên thực tế, những tay săn lỗi bảo mật luôn bận rộn vì nhu cầu từ chính phủ, tổ chức và doanh nghiệp rất cao. Ngay cả những công ty hàng đầu thế giới như Google, Apple, Facebook, Chrysler, United Airlines… thậm chí là Bộ Quốc phòng Mỹ cũng thường tổ chức các cuộc thi tìm lỗi dù sở hữu đội ngũ chuyên gia bảo mật hùng hậu và rất giỏi chuyên môn. Theo thống kê của Bugcrowd, số tiền chi cho hoạt động tìm lỗi tại Mỹ trong 2016 lên tới 6,3 triệu USD, với hơn 52.000 lỗ hổng được phát hiện.

“Điều này giống như thuê trộm về để xem nhà mình có dễ bị đột nhập hay không”, một chuyên gia cho biết.

Như vậy, nếu hệ thống càng dễ bị khai thác thì nguy cơ mất an toàn bảo mật càng cao, từ đó tiền thưởng thu về càng nhiều. Tất nhiên, nó không là gì so với thiệt hại khi bị kẻ xấu lợi dụng.

Nhưng không phải ai cũng “liều mình” tập trung săn lỗi như DeVoss hay Litchfield. Số liệu Bugcrowd chỉ ra rằng, trong khoảng 53.000 “thợ săn” đang hoạt động mỗi tháng, chỉ khoảng 15% hoạt động toàn thời gian. Đa phần họ đều không muốn từ bỏ nghề mình đang làm để chuyển qua công việc săn lỗi bấp bênh hơn.

Điều mà “thợ săn” lo sợ nhất, chính là việc tìm lỗi bị trùng lặp. Litchfield kể lại, năm 2015 anh từng phát hiện một lỗi của PayPal và được thưởng 15.000 USD. Vài ngày sau đó, nhóm hoạt động độc lập khác tìm thấy lỗi tương tự và được thưởng 5.000 USD “an ủi”.

“Trong hầu hết các trường hợp, việc tìm ra lỗi trùng lặp sẽ không được thưởng. Nó xảy ra với bất cứ ‘thợ săn’ nào và ai gặp phải cũng có thể mang cảm giác bực bội một cách ghê gớm vì đã bỏ nhiều công sức và thời gian nhưng không thu được gì”, Litchfield nhấn mạnh.

Tuy vậy, theo thống kê của HackerOne, tổ chức chuyên vận hành rất nhiều chương trình săn thưởng cho nhiều công ty lớn như Yahoo!, Twitter, Google, Facebook, Microsoft…các “thợ săn” vẫn còn rất nhiều đất diễn. Có tới 94% trong tổng số 2.000 công ty lớn nhất thế giới theo xếp hạng của Forbes đang đối mặt với nguy cơ cao bị hacker tấn công. Do đó việc phát hiện lỗ hổng bảo mật vẫn là “mỏ vàng” cần được khai thác.

 Theo vnexpress