/ / Chương trình tiền thưởng lỗi là gì? Đây là tất cả mọi thứ bạn cần biết

Chương trình tiền thưởng lỗi là gì? Đây là tất cả mọi thứ bạn cần biết

Tất cả phần mềm đều có lỗi hoặc sai sót gây ra sự cố. Chúng bao gồm từ các sự cố tầm thường không ảnh hưởng đến hiệu suất phần mềm theo bất kỳ cách chính nào, đến các lỗ hổng bảo mật nghiêm trọng.


Lỗi có thể khó phát hiện, đó là lý do tại sao nhiều công ty công nghệ có chương trình tiền thưởng lỗi. Nhưng chính xác thì chương trình tiền thưởng lỗi là gì? Chúng hoạt động như thế nào và chúng giúp cải thiện tính bảo mật của sản phẩm như thế nào?


Chương trình tiền thưởng lỗi hoạt động như thế nào

Các công ty tung ra các chương trình tiền thưởng lỗi để khuyến khích các hacker mũ trắng tìm kiếm các lỗ hổng bảo mật và các lỗ hổng tương tự trong phần mềm. Thường có một giải thưởng tiền tệ hơn kha khá cho những người phát hiện ra một lỗi, bất kể nó có vẻ tầm thường đến mức nào đối với người bình thường.

Và không chỉ các công ty nhỏ, mới nổi mới có chương trình tiền thưởng lỗi. Trên thực tế, hầu hết những gã khổng lồ công nghệ đều điều hành chúng, bao gồm Google, Microsoft, Facebook và Apple. Thông tin chi tiết về các chương trình này thường có thể được tìm thấy trên trang web chính thức của công ty. Thông thường, có một số cấp độ hoặc danh mục. Nhưng về nguyên tắc, lỗi càng quan trọng thì phần thưởng càng cao.

Khi một hacker mũ trắng phát hiện ra một lỗi, họ sẽ gửi một báo cáo tiết lộ chi tiết giải thích những gì họ đã tìm thấy. Sau đó, các kỹ sư của công ty sẽ xem xét và điều tra nội dung gửi và nếu phát hiện của nhà nghiên cứu là chính xác và hữu ích, họ sẽ được thông báo và nhận phần thưởng bằng tiền.

Hệ thống này hoạt động cho cả công ty và các nhà nghiên cứu độc lập. Từ quan điểm của bất kỳ công ty nào, tốt hơn là một hacker có đạo đức phát hiện ra một lỗi hơn là một tác nhân đe dọa, những người rất có thể sẽ tiếp tục khai thác nó trước khi nó được vá, có khả năng gây thiệt hại hàng triệu USD. Mặt khác, các tin tặc tạo ra rất nhiều thay đổi khi tham gia vào các chương trình tiền thưởng lỗi—một số thậm chí còn kiếm được thu nhập toàn thời gian khi khám phá các lỗ hổng phần mềm.

Ví dụ về các chương trình tiền thưởng lỗi Cải thiện bảo mật phần mềm

Về mặt lý thuyết, thật tốt khi biết các chương trình tiền thưởng lỗi hoạt động như thế nào, nhưng chúng ta hãy xem một vài ví dụ thực tế về các công ty trả những khoản tiền lớn cho tin tặc mũ trắng.

Hợp tác với nền tảng tiền thưởng lỗi Immunefi, nền tảng cầu nối chuỗi khối phi tập trung Wormhole đã ra mắt vào tháng 2 năm 2022 một chương trình tiền thưởng cung cấp 10 triệu đô la cho bất kỳ ai phát hiện ra lỗi bảo mật nghiêm trọng. Ngay sau đó, một hacker mũ trắng sử dụng bút danh satya0x đã phát hiện ra một. Như Immunefi đã giải thích trong một bài đăng trên Phương tiện, lỗi này có thể dẫn đến việc tiền của người dùng bị khóa, vì vậy satya0x đã nhận được 10 triệu đô la vì đã tiết lộ nó.

Cũng trong tháng 2 năm 2022, sàn giao dịch tiền điện tử Coinbase đã trả phần thưởng tiền thưởng sửa lỗi trị giá 250.000 đô la cho một nhà nghiên cứu độc lập vì đã phát hiện ra một lỗ hổng lớn trong giao diện giao dịch của nền tảng.

Aurora Labs, công ty đứng sau Máy ảo Aurora Ethereum (ETH), đã trả khoản tiền thưởng khổng lồ trị giá 6 triệu đô la vào tháng 4 năm 2022. Số tiền này đã được trao cho một hacker có đạo đức được gọi là pwning.eth, sau khi anh ta phát hiện ra một lỗ hổng có thể gây ra mối đe dọa các tác nhân để đúc một nguồn cung cấp tiền điện tử Ethereum vô tận trong công cụ Aurora.

Trong khi đó, gã khổng lồ thương mại điện tử Canada Shopify đã phá kỷ lục của chính mình vào năm 2021, khi tổng số tiền thưởng của họ là 1 triệu đô la. Năm đó, công ty đã nhận được tổng cộng 3.000 báo cáo lỗi từ các hacker mũ trắng trên khắp thế giới. Đáp lại, Shopify đã tăng phần thưởng tiền thưởng tối đa lên 100.000 USD.

Những con số này có vẻ cao một cách vô lý, nhưng chúng thực sự không thấm vào đâu so với số tiền và dữ liệu mà tội phạm mạng có thể kiếm được bằng cách phát hiện ra các lỗ hổng. Wormhole chỉ đặt phần thưởng tiền thưởng lỗi trị giá 10 triệu đô la sau khi nó mất 320 triệu đô la do vi phạm. Aurora Labs đã thưởng cho một hacker mũ trắng vì 6 triệu đô la chẳng thấm vào đâu so với việc mất đi 240 triệu đô la ETH, trong khi Coinbase và Shopify có lẽ đã tiết kiệm được hàng chục triệu đô la bằng cách bồi thường cho các nhà nghiên cứu siêng năng.

5 chương trình săn lỗi trả thưởng cao nhất

Người đàn ông viết mã trên máy tính xách tay

Bởi vì các công ty thực sự tiết kiệm được rất nhiều tiền bằng cách thiết lập các chương trình tiền thưởng lỗi, nên có một loạt các tùy chọn mà các nhà nghiên cứu có thể lựa chọn. Nếu bạn tình cờ là một hacker mũ trắng hoặc muốn trở thành một hacker, thì đây là năm chương trình tiền thưởng lỗi được trả lương cao để xem xét.

1. Tiền thưởng bảo mật của Apple

Apple Security Bounty là một trong những chương trình tiền thưởng lỗi phổ biến nhất trên thế giới. Phần thưởng dao động từ 5.000 đô la cho việc phát hiện ra các lỗ hổng trên màn hình khóa, đến 2 triệu đô la cho các lỗ hổng bảo mật cho phép tác nhân đe dọa vượt qua các biện pháp bảo vệ của Chế độ khóa. Tất cả những gì bạn phải làm để gửi báo cáo lỗi (cần phải kỹ lưỡng và chi tiết) là đăng nhập bằng ID Apple của bạn.

2. Chương trình tiền thưởng lỗi của Microsoft

Một chương trình tiền thưởng lỗi phổ biến khác do Microsoft điều hành, chương trình này cung cấp nhiều loại phần thưởng. Giống như chương trình của Apple, chương trình của Microsoft được chia thành hàng chục danh mục khác nhau. Ví dụ: nếu bạn phát hiện ra một lỗ hổng trong Microsoft.NET framework, bạn có thể nhận được khoản thanh toán lên tới 15.000 USD. Nhưng nếu bạn khám phá ra một trong Microsoft Hyper-V, bạn có thể nhận được phần thưởng lên tới 250.000 USD.

3. Chương trình phần thưởng của Samsung

Chương trình Phần thưởng Samsung tập trung vào các sản phẩm di động của công ty. Nó có các chính sách tương đối nghiêm ngặt, vì vậy hãy đảm bảo rằng bạn đã đọc kỹ trước khi gửi lỗi. Ngoài ra, xin lưu ý rằng chỉ những lỗi ảnh hưởng đến bảo mật của thiết bị Samsung mới được các kỹ sư của công ty xem xét. Phần thưởng nằm trong khoảng từ 200 đến 200.000 đô la.

4. Thợ săn bọ của Google

Trong chương trình tiền thưởng Google Bug Hunters, phần thưởng lên tới 30.000 đô la. Thợ săn lỗi, thường được gọi là tin tặc mũ trắng, có thể báo cáo lỗi trong Gmail, YouTube, BlogSpot và các dịch vụ khác của Google. Chương trình này có một cộng đồng rất tích cực và trường đại học trực tuyến của riêng nó, đây có thể là một nguồn tài nguyên tuyệt vời cho các nhà nghiên cứu mới vào nghề.

5. Tiền thưởng lỗi meta

Chương trình tiền thưởng của Meta bao gồm Facebook, Instagram, WhatsApp, Messenger và một loạt sản phẩm khác. Để được xem xét nhận phần thưởng (tối thiểu là 500 USD), bạn cần tìm ra các lỗ hổng gây rủi ro về bảo mật hoặc quyền riêng tư và đáp ứng các yêu cầu được xác định rõ ràng. Tất cả các báo cáo hợp lệ đều nhận được phản hồi. Nếu nhiều thợ săn phát hiện ra cùng một vấn đề, phần thưởng sẽ được trao cho người đầu tiên gửi báo cáo.

Chương trình tiền thưởng tìm lỗi: Giải pháp bảo mật tốt nhất từ ​​cộng đồng

Các chương trình tiền thưởng lỗi đại diện cho khả năng bảo mật tốt nhất từ ​​cộng đồng. Và không chỉ các công ty công nghệ và nhà nghiên cứu an ninh mạng được hưởng lợi từ chúng—tất cả mọi người, kể cả người tiêu dùng, đều được hưởng lợi.

Đối với một số người, săn lỗi là một sở thích và đối với những người khác là một nghề nghiệp chính thức. Nếu bạn rơi vào trường hợp thứ hai, hoặc có nguyện vọng, thì có rất nhiều khóa học trực tuyến đáng để tham khảo.

Bài viết liên quan:

  1. 5 cách để cải thiện tình cảm của bạn bằng điện thoại thông minh
  2. Hướng dẫn hàn chì – cách dùng mỏ hàn nhiệt
  3. Ưu đãi dành cho người máy hút bụi tốt nhất Amazon Prime Day
  4. 7 cách khác nhau để tô màu nghệ thuật của bạn trong Procreate

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *