Trong một thông báo được đưa ra vào ngày hôm qua 11/2, Google cho biết tính đến hết năm vừa rồi, họ đã chi ra số tiền khổng lồ, lên đến hơn 15 triệu đô la tiền thưởng cho chương trình trả tiền thưởng phát hiện lỗi bảo mật (được áp dụng từ tháng 11 năm 2010). Theo đó, chỉ tính riêng trong năm 2018, công ty đã trao thưởng hơn 3.4 triệu đô la cho 317 nhà nghiên cứu bảo mật với các lỗ hổng bảo mật trên dịch vụ Google mà họ đã phát hiện ra, tăng nhẹ so với con số 2.9 triệu đô la mà công ty đã trao cho 274 nhà nghiên cứu trong năm 2017. Đặc biệt là trong năm ngoái, Google đã trao một nửa số phần thưởng - 1.7 triệu USD cho những nhà nghiên cứu đã tìm thấy và báo cáo các lỗ hổng bảo mật xuất hiện trong Android và Chrome.
Chương trình thưởng tiền cho việc phát hiện lỗi bảo mật là một ý tưởng tuyệt vời, góp phần giúp nhà cung cấp dịch vụ tận dụng nguồn lực từ chính cộng đồng để hoàn thiện các sản phẩm của mình. Có thể nói đây là một kiểu hợp tác văn minh, đôi bên cùng có lợi. Cụ thể, chương trình này sẽ giúp thúc đẩy các cá nhân cũng như nhóm tin tặc không chỉ tìm ra được lỗ hổng bảo mật, mà còn tiết lộ cách thức khai thác hoặc khắc phục các lỗ hổng này một cách đúng đắn, thay vì lợi dụng chúng để trục lợi cá nhân, vi phạm pháp luật hay tệ hơn là rao bán cho các tổ chức đen. Nhìn chung, chi phí bỏ ra trong việc khen thưởng các nhà nghiên cứu bảo mật thường chẳng là gì so với thiệt hại cũng như số tiền phải bỏ ra để khắc phục hậu quả mà lỗ hổng đó gây ra.
Khoản tiền thưởng của Google cho các lỗi bảo mật nằm trong khoảng từ 100 đến 200.000 đô la, dựa trên mức độ rủi ro cũng như tính nghiêm trọng mà lỗ hổng đó có thể gây ra. Trong năm 2018, mức thưởng lớn nhất cho một lỗi bảo mật được tìm ra là 41.000 đô la.
Trong thông báo của mình, Google cũng đã chia sẻ ba câu chuyện thú vị đã được ghi nhận trong chương trình trao tiền thưởng phát hiện lỗi bảo mật của mình như sau:
- Ezequiel Pereira, một nhà nghiên cứu trẻ (19 tuổi) đến từ Uruguay, đã phát hiện ra lỗi thực thi mã từ xa (Remote Code Execution - RCE) cho phép anh ta truy cập vào bảng điều khiển Google Cloud Platform từ xa.
- Tomasz Bojarski đến từ Ba Lan đã phát hiện ra một lỗi liên quan đến cross-site scripting - XSS. Đây là loại lỗi bảo mật có thể cho phép kẻ tấn công thay đổi hành vi hoặc cách thức xuất hiện của trang web, đánh cắp dữ liệu riêng tư hoặc thực hiện các hành động thay mặt người dùng mà không có sự cho phép từ họ. Đặc biệt, Tomasz Bojarski cũng được biết đến là một “thợ săn” lỗi bảo mật hàng đầu của Google. Anh đã dùng toàn bộ số tiền thưởng của mình trong năm 2018 để mở một nhà nghỉ và nhà hàng kinh doanh nhỏ.
- Dzmitry Lukyanenka, một chuyên gia bảo mật nghiệp dư đến từ Minsk, Belarus, đã được thưởng 1.337 USD cho việc phát hiện ra nhiều lỗi nhỏ. Sau khi bị mất việc, anh chàng bắt đầu dành toàn bộ thời gian rảnh rỗi của mình cho việc săn tìm các lỗ hổng bảo mật, và dần dần trở thành một phần trong chương trình VRP của Google, một chương trình chuyên cung cấp những giải pháp hỗ trợ tài chính cho những người săn lỗi bảo mật toàn thời gian, ngay cả khi họ không tìm ra bất cứ lỗi nào.
Chương trình săn lỗi bảo mật nhận tiền thưởng của Google đã phát triển rất nhanh chóng và nhận được sự hưởng ứng tích cực từ phía người dùng kể từ khi chính thức đi vào hoạt động hơn 7 năm trước, bằng chứng là số tiền thưởng ngày càng được tăng lên sau mỗi năm.
Nhóm bảo mật Google không giấu ý định sẽ tiếp tục mở rộng chương trình này đến nhiều nền tảng dịch vụ hơn, đồng thời cũng đưa ra những mức thưởng hấp dẫn hơn, chẳng hạn như số tiền thưởng có thể lên tới 100.000 đô la cho ai hack thành công Chromebook và 200.000 đô la nếu hack thành công Android.
Vào tháng 11 năm ngoái, Google đã công bố các giải thưởng nghiên cứu về bảo mật và quyền riêng tư nhằm công nhận thành tựu của các học giả, những người đã có đóng góp lớn cho lĩnh vực này thông qua các dự án nghiên cứu của họ. Thay mặt các học giả, Google cũng đang là đơn vị đứng ra hỗ trợ tài chính cho các trường đại học nhằm thúc đẩy phát triển lĩnh vực nghiên cứu bảo mật với tổng giá trị lên tới hơn 500.000 đô la.