Tiếng Việt
English
1. Bug Bounty là gì?
Bug Bounty tạm dịch săn lỗi nhận tiền thưởng. Đây là một phần thưởng được cung cấp cho việc tìm kiếm các lỗ hổng và các vấn đề trong code của máy tính. Nó thường được cung cấp bởi các protocol, các sàn giao dịch và ví để xác định các vi phạm an ninh tiềm ẩn hoặc lỗi trước khi chúng bị khai thác bởi các hacker. Đây là một trong những hoạt động kiếm tiền song song với việc tham gia retroactive của dự án.
Một chương trình bug bounty tiêu chuẩn bao gồm các đối tượng chính như:
- Đơn vị tổ chức Bug Bounty: thường là các doanh nghiệp, tổ chức hoặc bên thứ 3. Sản phẩm cần tìm lỗi: có thể là website, mobile app, IoT, API, phần mềm máy tính, phần mềm dịch vụ – SaaS,…
- Chuyên gia: là những người tham gia tìm lỗi trong chương trình Bug Bounty. Họ là những chuyên gia an ninh mạng, tư vấn bảo mật cho các tổ chức, cũng có thể là một pen-tester.
Phần thưởng có thể là tiền mặt, bằng khen, quà lưu niệm, sự công nhận,… tuy nhiên phổ biến nhất vẫn là tiền mặt. Tiền thưởng nhiều hay ít tùy thuộc vào mức độ nghiêm trọng & tầm ảnh hưởng của lỗi bảo mật tới người dùng và chính doanh nghiệp.
2. Bug Bounty có tác dụng gì?
Bug Bounty (chương trình thưởng tìm lỗi) có tác dụng quan trọng trong lĩnh vực bảo mật thông tin và công nghệ. Dưới đây là những tác dụng quan trọng của Bug Bounty:
-
Phát hiện và sửa lỗi bảo mật: Bug Bounty giúp phát hiện các lỗ hổng và ranh giới trong hệ thống, ứng dụng hoặc trang web trước khi kẻ xâm nhập có cơ hội tấn công. Các lỗi này sau đó được báo cáo cho nhà phát triển và sửa chữa.
-
Tăng tính bảo mật: Các chương trình Bug Bounty giúp tăng tính bảo mật của các sản phẩm và dịch vụ, giúp bảo vệ thông tin quan trọng khỏi rò rỉ hoặc sử dụng sai cách.
-
Giảm rủi ro tiền tệ và danh tiếng: Bằng cách phát hiện và sửa lỗi bảo mật, Bug Bounty giúp giảm nguy cơ mất tiền và thiệt hại danh tiếng cho các tổ chức. Điều này đặc biệt quan trọng đối với các công ty hoạt động trực tuyến.
-
Cải thiện kiến thức bảo mật: Bug Bounty cho phép các chuyên gia bảo mật cập nhật kiến thức và thử nghiệm các kỹ thuật mới để phát hiện lỗi bảo mật.
-
Học hỏi và cộng đồng: Bug Bounty tạo ra một cộng đồng các chuyên gia bảo mật, người dùng, và các nhà phát triển cùng làm việc để cải thiện tính bảo mật. Nó cũng giúp học hỏi và trao đổi thông tin về các phát triển mới trong lĩnh vực bảo mật.
3. Bug Bounty Hunter
Bug Bounty Hunter (người săn lỗi thưởng) là người hoặc tổ chức chuyên về tìm lỗi và bảo mật thông tin. Công việc chính của họ là tìm ra và báo cáo các lỗ hổng, ranh giới và điểm yếu trong các hệ thống, ứng dụng hoặc trang web để bảo vệ chúng khỏi việc tấn công từ phía hacker hoặc thực hiện các hoạt động xâm nhập. Các Bug Bounty Hunter thường là các chuyên gia hoặc người có kiến thức sâu về lĩnh vực bảo mật thông tin và kiến thức kỹ thuật về phát triển phần mềm.
Bug Bounty Hunters thường làm việc độc lập hoặc tham gia vào các chương trình bug bounty của các công ty hoặc tổ chức. Trong các chương trình bug bounty, các công ty trả tiền thưởng cho những người tìm ra và báo cáo lỗi bảo mật trong sản phẩm hoặc dịch vụ của họ. Điều này giúp các công ty cải thiện tính bảo mật của sản phẩm của họ và bảo vệ thông tin quan trọng khỏi việc rò rỉ hoặc bị tấn công.
Bug Bounty Hunters đóng một vai trò quan trọng trong việc bảo vệ thông tin cá nhân và thông tin quan trọng của công ty, và công việc của họ đòi hỏi kiên nhẫn, kiến thức kỹ thuật và sự chuyên nghiệp trong lĩnh vực bảo mật thông tin.
4. Các nền tảng Bug Bounty phổ biến
Xuất phát từ khó khăn của các doanh nghiệp trong việc thu hút nhiều chuyên gia tài năng tham gia vào chương trình Bug Bounty, các nền tảng Bug Bounty thuộc bên thứ ba ra đời. Các nền tảng Bug Bounty giải quyết 3 bài toán: Giúp cho các startup và SME tiếp cận lượng chuyên gia có sẵn trên nền tảng thay vì phải tự gây dựng danh tiếng và tự thu hút chuyên gia. Tạo sân chơi cho các nhà nghiên cứu bảo mật giao lưu, học hỏi, kiếm thêm thu nhập từ đam mê.
5. Các nền tảng Bug Bounty bên thứ 3 uy tín
1. HackerOne
HackerOne là một trong những nền tảng Bug Bounty nổi tiếng nhất thế giới. Công ty được thành lập năm 2012 tại San Francisco. Là một trong những tên tuổi lâu đời và uy tín nhất trong ngành, HackerOne kết nối doanh nghiệp với cộng đồng hacker mũ trắng & nhà nghiên cứu bảo mật thông qua các chương trình Bug Bounty và VDP. Tính tới năm 2018, mạng lưới hacker mũ trắng của HackerOne đã lên tới 200,000 người. Một số khách hàng tiêu biểu của HackerOne bao gồm bộ Quốc Phòng Mỹ, General Motors, Starbucks, UBER, Spotify, airbnb, Nintendo, Wordpress, Snapchat, Twitter và nhiều tổ chức, doanh nghiệp khác.
2. Bugcrowd
Thành lập năm 2011 tại San Francisco, Bugcrowd là một trong những đơn vị uy tín giúp doanh nghiệp công bố chương trình Bug Bounty và thu hút các chuyên gia kiểm thử. Công ty cung cấp 4 dịch vụ dựa trên Crowdsourced Security, bao gồm Bug Bounty, Vulnerability Disclosure, Next Gen Pentest, Bug Bash. Bugcrowd là đối tác bảo mật của nhiều thương hiệu lớn như Tesla, Mastercard, Motorola, Atlassian, hay Western Union.
3. WhiteHub
Ra mắt vào tháng 4/2019, WhiteHub là nền tảng đầu tiên tại Việt Nam kết nối doanh nghiệp với chuyên gia bảo mật thông qua chương trình Bug Bounty. Tính tới tháng 8/2019, đã có 500 chuyên gia bảo mật WhiteHub đã thu hút được tham gia vào nền tảng, triển khai Bug Bounty cho 20 công ty trong và ngoài nước, thuộc nhiều lĩnh vực khác nhau như eCommerce, Fintech, OTA, SaaS, blockchain, v.v. Đây là nền tảng Bug Bounty được tin tưởng và sử dụng bởi các doanh nghiệp Việt dẫn đầu như VinGroup (VinID), Giaohangtietkiem, Vntrip, Luxstay, Sendo, Finhay, Getfly CRM.
Đọc thêm:
