Kaspersky bị “ban” khỏi chương trình Bug Bounty của HackerOne

Mạng lưới săn lỗ hổng nhận tiền thưởng (Bug Bounty) nổi tiếng thế giới HackerOne vừa chính thức ban hành lệnh cấm toàn diện tối với Kaspersky. Ở phía đối diện, công ty an ninh mạng có trụ sở tại Nga cũng xác nhận họ đã bị "đình chỉ vô thời hạn" trong việc tham gia chương trình tiền thưởng lỗi trên HackerOne.

Sở dĩ vấn đề này nhận được nhiều sự quan tâm trong giới bảo mật toàn cầu là bởi HackerOne hiện đang vận hành một nền tảng cầu nối để các tổ chức, doanh nghiệp gửi tiền thưởng cho các nhà nghiên cứu bảo mật đã tìm ra lỗ hổng trong phần mềm của họ.

Nói theo cách dễ hiểu, HackerOne đóng vai trò trung gian giữa giới hacker mũ trắng, các nhà nghiên cứu bảo mật, và cộng đồng doanh nghiệp có nhu cầu trợ giúp khắc phục các lỗ hổng tồn tại trong sản phẩm cũng như dịch vụ phần mềm của họ. Trong trường hợp của Kaspersky, nhà cung cấp phần mềm chống virus đến từ Nga hiện đang cung cấp mức thưởng từ 2.000 đô la đến 20.000 USD, tùy thuộc vào mức độ nghiêm trọng của lỗ hổng bảo mật.

Chương trình của Kaspersky trên HackerOne hiện bị vô hiệu hóa.
Chương trình của Kaspersky trên HackerOne hiện bị vô hiệu hóa.

HackerOne không đưa ra lý do cụ thể dẫn đến quyết định ngừng hợp tác với Kaspersky. Tuy nhiên theo giới chuyên gia, đây nhiều khả năng là hệ quả của hàng loạt lệnh trừng phạt nhắm vào các thực thể tại Nga nhằm thể hiện quan điểm phản đối đối với chiến dịch quân sự mà nước này đang triển khai tại Ukraine.

Chúng tôi hiện đang tạm dừng một số khoản thanh toán phần thưởng của hacker cho những khu vực chịu lệnh trừng phạt để đảm bảo tuân thủ mọi yêu cầu pháp lý…”, HackerOne cho biết trong một thông báo. “Chúng tôi sẽ tiếp tục làm việc với các bên liên quan về biện pháp trừng phạt. Hiện tại, HackerOne đã tạm ngừng mọi chương trình dành cho khách hàng có trụ sở tại Nga, Belarus và một số khu vực bị trừng phạt của Ukraine”.

Phía Kaspersky cũng cho biết chưa nhận được bất cứ “câu trả lời thẳng thắn” nào về lý do bị chặn khỏi nền tảng của HackerOne, và đồng thời cho rằng đây là một quyết định “có vấn đề”:

Những câu hỏi của chúng tôi vẫn chưa được giải đáp. Điều gì sẽ xảy ra với các lỗ hổng bảo mật đã được báo cáo? Ai sở hữu thông tin này? Điều gì đã được truyền đạt cho các nhà nghiên cứu bảo mật tham gia hợp tác với chúng tôi?"

Kaspersky khuyến khích các nhà nghiên cứu bảo mật tiếp tục báo cáo lỗi trong phần mềm của mình bằng cách liên hệ trực tiếp với công ty, mà không cần thông qua HackerOne. Đồng thời, cam kết các mức thưởng hậu hĩnh.

Nhiều hacker tự do trên toàn thế giới đang coi các khoản tiền thưởng từ HackerOne như một nguồn thu nhập ổn định. Theo thống kê, có không dưới 12% hacker trong mạng lưới HackerOne kiếm được hơn 20.000 USD tiền thưởng mỗi năm. Trong khi 1,1% kiếm được hơn 350.000 USD hàng năm, và 3% bỏ túi trên 100.000 USD mỗi năm. Tất cả đều đến từ các khoản tiền thường tương ứng với những lỗ hổng bảo mật mà họ phát hiện được.

Thứ Năm, 31/03/2022 21:59
51 👨 411
0 Bình luận
Sắp xếp theo
    ❖ Chuyện công nghệ