Có một sự thật là cho dù các lập trình viên giỏi như thế nào và thực hiện bao nhiêu thử nghiệm đi chăng nữa, phần mềm của họ vẫn sẽ luôn tồn tại lỗi dù nhiều hay ít. Đó là lý do tại sao các công ty công nghệ lớn thường kêu gọi sự giúp sức từ các chuyên gia bảo mật độc lập để tìm ra lỗ hổng trên sản phẩm của mình và báo cáo chúng thông qua các chương trình trả tiền thưởng phát hiện lỗi chính thức.
Facebook là một trong những đơn vị đi đầu trong phong trào này từ năm 2013, và hiện tại, công ty thậm chí còn có ý tưởng biến chương trình trả tiền thưởng phát hiện lỗi của mình trở thành một “sân chơi” thú vị, không chỉ giúp các hacker mũ trắng toàn cầu nâng cao tay nghề mà còn mang đến cho họ nguồn thu nhập ổn định, thông qua một dự án có tên Hacker Plus — một chương trình “đối tác thân thiết”, được thiết kế để “truyền bá lòng biết ơn và mang đến lợi ích lớn hơn cho cộng đồng Bug Bounty của Facebook”.
Hacker Plus về cơ bản bao gồm 5 hạng mục phần thưởng với từng yêu cầu (độ khó) cũng như mức tiền thưởng riêng biệt. Ngoài ra, còn có các đặc quyền VIP dành riêng cho các sự kiện hàng năm của hacker bao gồm đi lại và ăn ở có trả phí, khả năng truy cập và tham gia chương trình tiền thưởng cho các sản phẩm, tính năng chưa được phát hành,và đặc biệt là cả những danh hiệu có uy tín trong cộng đồng bảo mật như một sự chứng nhận về đóng góp và trình độ của mỗi cá nhân.
Ngoài ra, Facebook cũng sẽ xếp các nhà nghiên cứu tìm ra "lỗ hổng có tác động cao" vào giải đấu Hacker Plus, và vị trí càng cao trong giải đấu đồng nghĩa với việc càng nhận được nhiều phần thưởng hơn. Hệ thống giải đấu trong Hacker Plus được chia thành các cấp Đồng, Bạc, Vàng, Bạch kim và Kim cương. Trong đó cấp Kim cương mang lại mức thưởng lớn nhất, và đương nhiên cũng có yêu cầu cao nhất. Chẳng hạn, để đạt được yêu cầu, bạn cần phải tìm ra và báo cáo ít nhất 10 lỗi hợp lệ, tích lũy được số điểm trên 3.000, và SNR lớn hơn 0,6. (Hệ số SNR được tính dựa trên số lần thanh toán tiền thưởng lỗi trong khoảng thời gian 12 tháng chia cho các khoản thanh toán của năm trước. SNR về cơ bản là cách Facebook cố gắng đảm bảo chất lượng của các bài gửi và hạn chế sự trùng lặp).
Nhìn chung, chương trình thưởng tiền cho việc phát hiện lỗi bảo mật là một ý tưởng tuyệt vời, góp phần giúp nhà cung cấp dịch vụ tận dụng nguồn lực từ chính cộng đồng để hoàn thiện các sản phẩm của mình. Có thể nói đây là một kiểu hợp tác văn minh, đôi bên cùng có lợi. Cụ thể, chương trình này sẽ giúp thúc đẩy các cá nhân cũng như nhóm tin tặc không chỉ tìm ra được lỗ hổng bảo mật, mà còn tiết lộ cách thức khai thác hoặc khắc phục các lỗ hổng này một cách đúng đắn, thay vì lợi dụng chúng để trục lợi cá nhân, vi phạm pháp luật hay tệ hơn là rao bán cho các tổ chức đen. Nhìn chung, chi phí bỏ ra trong việc khen thưởng các nhà nghiên cứu bảo mật thường chẳng là gì so với thiệt hại cũng như số tiền phải bỏ ra để khắc phục hậu quả mà lỗ hổng đó gây ra.
Việc mở rộng quy mô chương trình tìm lỗi bảo mật nhận tiền thưởng là một động thái cần thiết, cho thấy sự quan tâm của Facebook với những đóng góp từ các nguồn lực bên ngoài hệ thống nội bộ, đồng thời có thể giúp thuyết phục nhiều nhà nghiên cứu bảo mật tham gia báo cáo các lỗ hổng trên phần mềm của mình hơn, từ đó chất lượng sản phẩm và trải nghiệm người dùng cũng sẽ được cải thiện đáng kể.
Bạn quan tâm có thể tìm hiểu thêm về chương trình này và tham gia tại đây.