Microsoft ra mắt chương trình “săn lỗ hổng nhận tiền thưởng” với công cụ bảo mật Defender

Có một sự thật là cho dù các lập trình viên giỏi như thế nào và thực hiện bao nhiêu thử nghiệm đi chăng nữa, phần mềm của họ vẫn sẽ luôn tồn tại lỗi dù nhiều hay ít. Đó là lý do tại sao các công ty công nghệ lớn thường kêu gọi sự giúp sức từ các chuyên gia bảo mật độc lập để tìm ra lỗ hổng trên sản phẩm của mình, và báo cáo chúng thông qua các chương trình trả tiền thưởng phát hiện lỗi chính thức.

Microsoft vừa công bố một chương trình tiền thưởng lỗi mới, khuyến khích các nhà phát triển, các nhà nghiên cứu bảo mật trên toàn thế giới cùng tìm kiếm mọi lỗ khổng tiềm năng trong bộ công cụ bảo mật Defender với tên gọi Microsoft Defender Bounty Program. Trong một bài đăng trên blog, công ty cho biết:

Thương hiệu Microsoft Defender bao gồm nhiều sản phẩm và dịch vụ khác nhau được thiết kế để nâng cao tính bảo mật cho trải nghiệm của khách hàng Microsoft. Chương trình Microsoft Defender Bounty Program khuyến khích các nhà nghiên cứu trên toàn cầu xác định những lỗ hổng tiềm ẩn tồn tại trong các sản phẩm và dịch vụ của Defender, và chia sẻ chúng với Microsoft. Chương trình sẽ bắt đầu với phạm vi giới hạn, tập trung vào bộ công cụ Microsoft Defender dành cho API điểm cuối và sẽ mở rộng để bao gồm các sản phẩm khác trong thương hiệu Defender theo thời gian.

Công ty đã tiết lộ thêm thông tin chi tiết về chương trình tiền thưởng trên trang riêng của mình. Có một số tiêu chí mà các nhà nghiên cứu bảo mật phải vượt qua để đủ điều kiện giành được tiền thưởng:

• Xác định lỗ hổng bảo mật trong các sản phẩm Defender trong phạm vi được liệt kê mà trước đây chưa từng báo cáo hoặc được Microsoft biết đến.
• Lỗ hổng phải ở mức độ Nghiêm trọng hoặc Quan trọng, và có thể tái tạo trên phiên bản mới nhất, được vá đầy đủ của sản phẩm hoặc dịch vụ.
• Bao gồm các bước rõ ràng, ngắn gọn, được trình bày bằng văn bản hoặc ở định dạng video.
• Cung cấp cho các kỹ sư của Microsoft thông tin cần thiết để nhanh chóng tái tạo, hiểu và khắc phục sự cố.

Phần thưởng tiền thưởng thực tế sẽ được trao cho các lỗ hổng cụ thể, mà nhà phát triển tìm thấy, dao động từ 500 USD đến 8.000 USD tùy thuộc vào mức độ nghiêm trọng. Cá biệt với hạng mục lỗ hổng khai thác từ xa, mức thưởng sẽ dao động từ 5.000 USD đến 20.000 USD, thậm chí cao hơn nếu lỗ hổng được tìm thấy có sự ảnh hưởng đặc biệt.

Nhìn chung, chương trình thưởng tiền cho việc phát hiện lỗi bảo mật là một ý tưởng tuyệt vời, góp phần giúp nhà cung cấp dịch vụ tận dụng nguồn lực từ chính cộng đồng để hoàn thiện các sản phẩm của mình. Đây là một kiểu hợp tác đôi bên cùng có lợi, giúp thúc đẩy các cá nhân cũng như nhóm hacker không chỉ tìm ra được lỗ hổng bảo mật, mà còn tiết lộ cách thức khai thác hoặc khắc phục các lỗ hổng này một cách đúng đắn, thay vì lợi dụng chúng để trục lợi cá nhân, vi phạm pháp luật hay tệ hơn là rao bán cho các tổ chức đen. Nhìn chung, chi phí bỏ ra trong việc khen thưởng các nhà nghiên cứu bảo mật thường chẳng là gì so với thiệt hại cũng như số tiền phải bỏ ra để khắc phục hậu quả mà lỗ hổng đó gây ra.