Bug Bounty là một khái niệm vừa cũ vừa mới, đặc biệt khi nó được đưa vào sân chơi Web3. Một loạt các cuộc tấn công bảo mật trong năm 2022 cho thấy tầm quan trọng của các chương trình săn lỗi. Trong bài viết này, CoinF0 sẽ cùng độc giả tìm hiểu khái niệm về Bug Bounty là gì. Cùng theo dõi bạn nhé!
Bạn đang xem bài viết: Bug Bounty là gì
Bug Bounty là gì?
Bug Bounty (tạm dịch là Săn lỗi nhận tiền thưởng) là chương trình bảo mật do một tổ chức, doanh nghiệp hoặc bên thứ 3 phát hành nhằm thu hút cộng đồng phát hiện và báo cáo các lỗ hổng bảo mật (bug) trong các sản phẩm công nghệ. Trong đó, một khoản tiền thưởng sẽ được trao cho người tìm ra lỗi.
Một chương trình bug bounty tiêu chuẩn sẽ bao gồm 3 mục tiêu chính:
- Đơn vị tổ chức Bug Bounty: Thường là doanh nghiệp, tổ chức hoặc bên thứ ba, đây là đơn vị chịu trách nhiệm thiết kế và công bố kế hoạch Bug Bounty và trao thưởng cho các chuyên gia phát hiện ra bug.
- Sản phẩm cần tìm lỗi: đó có thể là trang web, ứng dụng di động, IoT, API, phần mềm máy tính, phần mềm dưới dạng dịch vụ – SaaS, …
- Chuyên gia: Người tham gia chương trình Bug Bounty. Họ là những chuyên gia an ninh mạng, chuyên gia tư vấn bảo mật cho các tổ chức, nhưng cũng có thể là những người kiểm tra thâm nhập, hacker mũ trắng hay những sinh viên ATTT tài năng.

Phần thưởng có thể là tiền mặt, giấy chứng nhận, quà lưu niệm, bằng khen, v.v., nhưng phổ biến nhất vẫn là tiền mặt. Tiền thưởng nhiều hay ít phụ thuộc vào mức độ nghiêm trọng và tác động của vi phạm bảo mật đối với người dùng và doanh nghiệp.
Các nền tảng Bug Bounty hiện nay
1. HackerOne
HackerOne là một trong những nền tảng Bug Bounty nổi tiếng nhất trên thế giới. Công ty được thành lập ở San Francisco vào năm 2012. Là một trong những cái tên lâu đời nhất và được kính trọng nhất ở trong ngành, HackerOne kết nối các doanh nghiệp với cộng đồng tin tặc mũ trắng và các nhà nghiên cứu bảo mật thông qua các chương trình Bug Bounty và VDP. Năm 2018, mạng lưới hacker mũ trắng của HackerOne là 200.000 người và tăng lên 700.000 người vào năm 2020.
Tham gia HackerOne thật dễ dàng. Bạn chỉ cần tạo một tài khoản tại https://hackerone.com/. Sau khi tạo tài khoản, bạn có thể truy cập phần Opportunities để xem thông tin về các chương trình đang hoạt động, chọn một chương trình và bạn có thể tham gia tìm Bug Bounty rồi.
2. Bugcrowd
Được thành lập tại San Francisco vào năm 2011, Bugcrowd là một trong những tên tuổi lớn nhất giúp các công ty công bố các chương trình Bug Bounty và thu hút các chuyên gia thử nghiệm. Công ty cung cấp 4 dịch vụ dựa trên bảo mật có nguồn lực từ cộng đồng, bao gồm Bug Bounty, Vulnerability Disclosure, Next Gen Pentest, Bug Bash.
Bugcrowd là đối tác bảo mật của nhiều thương hiệu lớn và nổi tiếng như Tesla, Mastercard, Motorola, Atlassian hay Western Union. Giao diện chương trình trên Bugcrowd như ảnh:
3. WhiteHub

Ra mắt vào tháng 4 năm 2019, WhiteHub là nền tảng đầu tiên tại Việt Nam kết nối doanh nghiệp với các chuyên gia bảo mật thông qua chương trình Bug Bounty. WhiteHub là sản phẩm của Công ty An toàn thông tin CyStack Việt Nam, được thành lập bởi một nhóm các chuyên gia bảo mật có nhiều năm kinh nghiệm chuyên sâu và tâm huyết với ngành.
Đây là nền tảng Bug Bounty được các doanh nghiệp hàng đầu Việt Nam như VinGroup (VinID), Giaohangtietkiem, Vntrip, Luxstay, Sendo, Finhay, Getfly CRM,… tin tưởng và sử dụng.
4. SafeVuln
SafeVuln là nền tảng kết nối các nhà nghiên cứu an toàn thông tin với các doanh nghiệp đang tìm kiếm lỗ hổng bảo mật trong các sản phẩm và dịch vụ của họ, được phát triển bởi Viettel Cyber Security (VCS). Thông tin về lỗ hổng sẽ được xác nhận và gửi đến các doanh nghiệp thông qua nền tảng Safevuln và các nhà nghiên cứu phát hiện ra lỗ hổng sẽ được khen thưởng.
5. Các nền tảng khác
Ngoài các nền tảng trên, bạn có thể tham gia nhiều nền tảng khác như:
- Intigriti: Nền tảng Bug Bounty hàng đầu của Châu Âu.
- Yeswehack: Nền tảng kết nối hơn 21.000 chuyên gia tại hơn 170 quốc gia với các tổ chức khác nhau.
- Synack: Được biết đến là nền tảng tình báo của Hoa Kỳ. Synack bí mật hơn các nền tảng khác và không tiết lộ bất kỳ thông tin nào về các chương trình Bug Bounty và người tham gia.
- BugRank: Nền tảng tìm kiếm lỗ hổng mới ra mắt tại Việt Nam, do Trung tâm Giám sát An ninh mạng Quốc gia (NCSC) và VNSecurity phối hợp phát triển.
Ngoài nền tảng, nếu ai quan tâm đến việc tìm Bug Bounty trên Facebook, Instagram có thể trực tiếp tham gia chương trình do Facebook tổ chức tại https://www.facebook.com/whitehat. Facebook thường xuyên trả Bug Bounty khổng lồ cho các lỗi liên quan đến thao túng dữ liệu người dùng.
Những ai được phép tham gia Săn lỗi để nhận thưởng?

Những người tham gia vào các hoạt động tiền thưởng thường là các chuyên gia bảo mật hoặc chuyên gia độc lập từ các tổ chức nổi tiếng, hoặc thậm chí là các hacker mũ trắng. Các tổ chức đôi khi gặp khó khăn trong việc xác minh danh tính và độ tin cậy của các chuyên gia bảo mật độc lập. Đây là lúc các bên thứ ba như HackerOne phát huy tác dụng.
Những đơn vị như HackerOne sẽ đóng vai trò là cầu nối giữa doanh nghiệp và các chuyên gia bảo mật độc lập, những người đôi khi đảm bảo rằng hacker mũ trắng có quyền truy cập vào các chương trình săn lỗi. Với sự hỗ trợ của bên thứ ba, các doanh nghiệp và tổ chức sẽ có thể kết nối với nhiều chuyên gia, tăng tốc độ phát hiện các vi phạm an ninh.
Tiền thưởng lỗi phải trả là bao nhiêu?
Nếu bạn đã truy cập danh sách tiền thưởng lỗi của HackerOne được liên kết ở trên, bạn có thể nhận thấy rằng mỗi chương trình liệt kê một số lượng tiền thưởng tối thiểu. Nếu bạn mở một trong những chương trình này, bạn sẽ thấy số liệu thống kê về mức tiền thưởng và phần thưởng trung bình, tùy thuộc vào mức độ nghiêm trọng của lỗ hổng bảo mật.
Các vấn đề ở mức độ nghiêm trọng thấp, trung bình và cao có thể lấy từ vài trăm đến một nghìn đô la, trong khi các lỗ hổng nghiêm trọng có thể lấy vài nghìn đô la.
Một số chiến thắng khá tuyệt vời và các giao dịch tuyệt vời đã được thanh toán trong nhiều năm, nhưng nó giống như trúng xổ số. Bạn cần phải là một trong một triệu người khai thác và nó phải nằm trong hệ thống của một người chơi lớn với loại tiền mặt đó. Nếu bạn muốn kiếm sống nhờ tiền thưởng lỗi, rất có thể bạn sẽ kiếm được thu nhập ổn định từ các lỗi nhỏ phổ biến xuất hiện trong quá trình thử nghiệm thâm nhập hệ thống.
Bạn đang xem bài viết tại Kiến thức cơ bản của CoinF0, hãy truy cập để xem thêm nhiều thông tin hữu ích nữa nhé
Tổng kết
Như vậy, CoinF0 đã cung cấp cho bạn các thông tin liên quan về bug bounty là gì. Hy vọng những gì mà chúng tôi chia sẻ trên đây sẽ giúp ích cho bạn trong đầu tư và đưa ra chiến lược cho mình.

Trong đầu tư, những gì dễ dàng hiếm khi có lợi nhuận