Microsoft thưởng 100.000 USD cho ai hack được hệ điều hành Linux tùy chỉnh của hãng

Microsoft vừa công bố một chương trình tìm lỗi bảo mật nhận tiền thưởng mới có tên "Azure Sphere Security Research Challenge", mời gọi các nhà nghiên cứu bảo mật trên toàn thế giới tham gia "hack" hệ điều hành Linux tùy chỉnh Azure Sphere OS của công ty, với mức tiền thưởng tối đa có có thể lên tới 100.000 đô la, tùy theo kỹ thuật được sử dụng cũng như mức độ nghiêm trọng của lỗ hổng.

Các chuyên gia bảo mật nếu muốn tham gia sẽ phải gửi hồ sơ đăng ký đến Microsoft trước ngày 15 tháng 5 tới đây. Sau đó, chương trình sẽ kéo dài liên tục trong vòng 3 tháng, từ ngày 1 tháng 6 đến ngày 31 tháng 8, không giới hạn số lần tham gia.

Microsoft đặc biệt đánh giá cao các bản hack/lỗ hổng được tìm thấy liên quan đến khả năng thực thi mã từ xa trên hệ thống (RCE) - một trong những rủi ro bảo mật nghiêm trọng nhất. Các trường hợp như vậy sẽ nhận được mức thưởng tối đa 100.000 đô la.

Thử thách này của Microsoft sẽ tập trung vào hệ điều hành Azure Sphere. Tuy nhiên những lỗ hổng được tìm thấy ngoài phạm vi nghiên cứu, bao gồm cả nền tảng đám mây sẽ vẫn có thể đủ điều kiện nhận giải thưởng của chương trình Azure Sphere Security Research Challenge.

Từ trước đến nay, Microsoft luôn là cái tên đi đầu trong việc tổ chức các chương trình tìm lỗi bảo mật nhận tiền thưởng. Công ty Redmond đang đặt cược rất lớn vào cách làm này để cải thiện tính bảo mật của phần mềm và cho đến nay, họ đã gặt hái được tương đối nhiều thành quả, trong đó phải kể tới rất nhiều lỗ hổng bảo mật nghiêm trọng đã được tìm thấy trên Windows, trình duyệt Microsoft Edge và Microsoft Office.

Hiện tại, các nhà nghiên cứu có thể nhận khoản tiền thưởng 30.000 đô la cho các lỗ hổng nghiêm trọng trong trình duyệt Edge và 15.000 đô la nếu họ tìm thấy lỗ hổng trong các bản dựng Office Insider. Mặt khác, một lỗ hổng RCE quan trọng trong Microsoft Hyper-V có thể có mức thưởng lên tới 250.000 đô la.

Nhìn chung, chương trình thưởng tiền cho việc phát hiện lỗi bảo mật là một ý tưởng tuyệt vời, góp phần giúp nhà cung cấp dịch vụ tận dụng nguồn lực từ chính cộng đồng để hoàn thiện các sản phẩm của mình. Có thể nói đây là một kiểu hợp tác văn minh, đôi bên cùng có lợi. Cụ thể, chương trình này sẽ giúp thúc đẩy các cá nhân cũng như nhóm tin tặc không chỉ tìm ra được lỗ hổng bảo mật, mà còn tiết lộ cách thức khai thác hoặc khắc phục các lỗ hổng này một cách đúng đắn, thay vì lợi dụng chúng để trục lợi cá nhân, vi phạm pháp luật hay tệ hơn là rao bán cho các tổ chức đen. Về cơ bản, chi phí bỏ ra trong việc khen thưởng các nhà nghiên cứu bảo mật thường chẳng là gì so với thiệt hại cũng như số tiền phải bỏ ra để khắc phục hậu quả mà lỗ hổng đó gây ra.

Nếu bạn muốn đăng ký tham gia chương trình Azure Sphere Security Research Challenge của Microsoft, chỉ cần gửi đơn đăng ký tại đây.