Google vừa quyết định tăng số tiền thưởng lên 2 triệu USD dành cho các chương trình phát hiện lỗ hổng bảo mật. Đây là tổng số tiền thưởng mà gã khổng lồ tìm kiếm hứa sẽ trao cho các hacker có khả năng khai thác được các lỗ hổng trong trình duyệt Chrome của họ.
Hôm thứ 4 vừa qua, Google đã công bố kế hoạch của hãng cho cuộc thi Pwnium 2. Theo đó, Google sẽ trả cho các hacker 60.000 USD nếu như họ khai thác ra các lỗ hổng bảo mật trong 2 trình duyệt Chrome và Chromium của hãng. Cuộc thi sẽ diễn ra vào 10/10 tại hội nghị Hack In The Box ở Malaysia. Với những hacker có thể hack được Chrome nhưng không phải hoàn toàn khai thác lỗ hổng từ các đoạn mã gốc trên trình duyệt này (mà phải kết hợp với các bug trong HĐH máy tính như Windows), phần thưởng sẽ nhỏ hơn: 50.000 USD. Phần thưởng cho hacker khai thác được lỗ hổng trong Adobe Flash và Windows (và không liên quan đến Chrome) sẽ là 40.000 USD. Tổng giá trị tiền thưởng mà các hacker có thể nhận được lên tới 2 triệu USD.
"Chúng tôi coi trọng tất cả các lỗi bảo mật có thể ảnh hưởng tới an toàn duyệt web, do đó, như bạn thấy, giá trị các phần thưởng cho các hacker khai thác được lỗ hổng không liên quan trực tiếp đến Chrome cũng không hề nhỏ" - kĩ sư phần mềm Chris Evans của Google chia sẻ trên blog.
Hồi tháng 3, Google cũng hứa hẹn khoản quỹ 1 triệu USD cho các giải thưởng tương tự. Tuy nhiên, sau cùng, các hacker chỉ "kiếm" được của Google 120.000 USD, 12% của khoản thưởng tối đa. Đáng chú ý là có 2 lỗ hổng mà hacker khai thác được hoàn toàn từ các đoạn mã gốc của Chrome. Nếu bị khai thác thành công, hacker có thể vượt qua được cơ chế bảo mật sandbox được đánh giá cao trên trình duyệt này để truy nhập trái phép vào máy tính người dùng.
Một trong 2 hacker dành được 60.000 USD tiền thưởng của Google hồi đó là Pinkie Pie mới chỉ 19 tuổi. Google sau đó công khai cách thức khai thác lỗ hổng của Pinkie Pie. Theo đó, 6 lỗi (bug) riêng biệt trên Chrome đã được hacker này lợi dụng để phá vỡ sandbox của trình duyệt Chrome.
Trước khi công bố giải thưởng hôm thứ 4, Google cho biết họ sẽ trả thêm 1000 USD (trong số khoản tiền thưởng vốn đã khá lớn) cho những nhà nghiên cứu đã âm thầm báo cáo lại cho Google các bug bảo mật trong các sản phẩm của hãng. Trong chương trình, Chromium Rewards Program của Google, những hacker tìm ra được các lỗi nghiêm trọng sẽ được thưởng hơn 3000 USD cho 1 lỗi. Các lỗi "đặc biệt nghiêm trọng" sẽ được thưởng tới 10.000 USD.
"Chịu chơi"
Google được biết đến là công ty tỏ ra chịu chơi với giới bảo mật khi dành ra những quỹ thưởng lớn cho các hacker tìm ra được lỗ hổng trong các sản phẩm của họ. Chính sách này trái ngược với Adobe và Micorosft. Giới hacker thường phàn nàn rằng họ không hề được trả đồng nào từ 2 ông lớn này cho việc dành nhiều thời gian tìm và báo cáo các lỗ hổng bảo mật. Còn Google, họ cho biết, tới nay, họ đã bỏ ra hơn 1 triệu USD để thưởng cho giới phát triển đã giúp họ tìm ra các lỗi bảo mật trong các phần mềm và sản phẩm web của công ty. Tuy nhiên, mới đây thì Microsoft cũng tỏ ra chịu chi hơn khi trao giải thưởng 250.000 USD cho 3 hacker để đổi lấy một hệ thống phòng thủ bảo mật được thiết kế để cải thiện khả năng bảo mật tổng thể cho các phần mềm của hãng.
Tham khảo: Arstechnica