Làm thế nào báo cáo các công ty, nếu bạn phát hiện ra sản phẩm của họ chứa lỗ hổng nghiêm trọng?

ictnews Nếu bạn phát hiện ra một lỗ hổng bảo mật lớn trong phần cứng hoặc phần mềm của một công ty công nghệ, điều tốt nhất bạn có thể làm là tiếp cận và hy vọng sẽ nhận được phản hồi từ công ty. Đặc biệt, đừng cố tống tiền công ty!

Grant Thompson và mẹ cậu bé, người đã cố gắng liên hệ với Apple để thông báo về lỗ hổng trong FaceTime

Nếu bạn thấy phát hiện ra một lỗ hổng bảo mật lớn trong phần cứng hoặc phần mềm của một công ty công nghệ, điều tốt nhất bạn có thể làm là tiếp cận và hy vọng sẽ nhận được phản hồi từ công ty.

Và nếu bạn không nhận được phản hồi, bạn sẽ kết thúc như Grant Thomas, cậu bé 14 tuổi, người đã tìm thấy một lỗ hổng bảo mật nghiêm trọng trong ứng dụng gọi điện thoại FaceTime của Apple.

Nhiều công ty đang gấp rút tìm ra cách tốt nhất và nhanh nhất để mọi người có thể thực hiện những bước đầu tiên nhằm thông báo cho công ty về lỗ hổng họ phát hiện ra.

Tuy nhiên, có nhiều cách để tạo sự khác biệt đẳng cấp khi bạn tìm thấy một lỗ hổng. Và nó có thể giúp bạn kiếm thêm tiền.

9 ngày sau Apple mới phản hồi lỗ hổng FaceTime

Thompson, một học sinh trung học ở Tucson, Ariz., đã tìm ra lỗi FaceTime trong phần mềm iOS của Apple. Apple đã cung cấp một địa chỉ email dành riêng cho các nhà nghiên cứu bảo mật tại đại chỉ Product-security@apple.com, nhưng lại không liệt kê địa chỉ đó trên trang hỗ trợ khách hàng của công ty. Vì vậy, mẹ của Thompson đã cố gắng thu hút sự chú ý trên tài khoản Twitter @AppleSupport và cuối cùng đã tự mình đăng tải tin tức.

Chín ngày sau khi phát hiện ra, Apple đã phản ứng bằng cách hủy kích hoạt FaceTime. Công ty đã phát hành bản vá cho iOS và macOS. Kể từ đó, Apple cho biết sẽ trả cho Thompson một khoản tiền thưởng.

Tiền thưởng cho công phát hiện lỗi là phần thưởng, thường là tiền mặt, được các công ty trả cho các nhà nghiên cứu, những người tự tin báo cáo các lỗ hổng cho họ. Mức thưởng có thể bắt đầu ở mức dưới 200 USD và leo lên hàng chục ngàn USD, tùy thuộc vào mức độ nghiêm trọng.

Theo quan điểm của nhà nghiên cứu bảo mật, tình hình sẽ tệ hơn nếu ai đó phát hiện ra lỗ hổng và cố gắng liên hệ với công ty nhưng không được, để cuối cùng lỗ hổng bị lọt ra ngoài.

Vấn đề là tồi tệ hơn nhiều ở nơi khác

Chỉ có 6% doanh nghiệp trong danh sách Forbes Global 2000 có kênh báo cáo bảo mật chuyên dụng.

Trong khi đó, nhiều công ty nhận được báo cáo lỗ hổng lại không xử lý chúng đúng cách. Trong một trường hợp đáng nhớ năm 2018, nhà nghiên cứu bảo mật Google Natalie Silvanovich đã cố gắng thông báo cho Samsung về một lỗi trên điện thoại Galaxy S7 Edge nhưng đã được chuyển sang một loạt các thỏa thuận “cấm tiết lộ” và thỏa thuận lại được viết bằng tiếng Hàn. Sau một tuần, Silvanovich đã liên lạc với những người mà cô biết tại nhóm bảo mật Knox của Samsung. Cuối cùng, cô được tư vấn về một địa chỉ email mà Samsung hầu như không bao giờ quảng bá nó. Về sau, Samsung đã sửa quy trình đó.

Không ai thích áp lực bên ngoài và rất ít trong số các công ty đó có quy trình tốt để xử lý các sự cố này, ông Rich Rich Mogull, CEO của công ty bảo mật Securosis, giải thích qua email.

Bạn nên làm gì?

Tuy nhiên, hai nhà nghiên cứu khác nói rằng mọi thứ ít nhất đã được cải thiện so với vài năm trước.

Chris Vickery, giám đốc nghiên cứu của UpGuard Security cho biết, các công ty lớn hơn đang ngày càng giáo dục nhân viên của họ về cách ứng phó sự cố phù hợp.

“Nói chung, tôi cảm thấy rằng các công ty dễ tiếp nhận các báo cáo bảo mật hơn và cũng sẵn sàng chấp nhận rằng họ có thể có lỗi trong sản phẩm của họ”, Chris Vickery nói.

Đầu tiên, đừng công khai lỗ hổng, vì nó sẽ khiến những kẻ tấn công đánh hơi được và tìm cách khai thác nó.

Tiếp theo, hãy ghi lại mọi nỗ lực bạn đã làm để thông báo cho công ty. Mọi cuộc gọi và email cần đuộc ghi lại.

Xem xét đến việc báo lỗ hổng cho một bên thứ ba đáng tin cậy. Với một số lỗ hổng, có thể liên lạc với các trung tâm ứng cứu khẩn cấp hoặc các cơ quan chính phủ.

Và cần nhớ là đừng cố tống tiền công ty. Hãy làm mọi việc trên tinh thần xây dựng. “Đừng đe dọa, hãy trở nên có ích”, đó là lời khuyên được đưa ra khi bạn phát hiện ra một lỗ hổng nào đó.

Tại sao các gã khổng lồ công nghệ không sản xuất smartphone tại Mỹ? Icon

Trong khi một số ngành công nghiệp đang tập trung xây dựng các nhà máy mới trên khắp nước Mỹ, những "gã khổng lồ" công nghệ lại có hướng đi khác khi không sản xuất smartphone ở quốc gia này.

Bloomberg: VNG hướng "tầm ngắm" ra thị trường thế giới

‘Bảo vệ thành công thị trường quê nhà 100 triệu dân trước các gã khổng lồ như Facebook, VNG bật chế độ tấn công’.

‘Công chúa Huawei’ được bác bỏ cáo buộc gian lận ngân hàng

Ngày 1/12, công tố viên Mỹ đề nghị thẩm phán bác bỏ tội gian lận ngân hàng và các cáo buộc khác đối với Mạnh Vãn Chu, con gái nhà sáng lập Huawei Nhậm Chính Phi.

Trả tiền bằng một cú vẫy tay, công nghệ từ phim ảnh ra đời thực

Công nghệ dùng lòng bàn tay để thanh toán được Amazon mở rộng ra cho các nhà bán lẻ bên ngoài.

Đông Nam Á, trong đó có Việt Nam đang phát triển nhanh về công nghệ 5G

Số lượng thuê bao 5G trong khu vực Đông Nam Á và Châu Đại Dương sẽ cán mốc 30 triệu thuê bao vào năm nay và đạt khoảng 620 triệu thuê bao vào cuối năm 2028.

Elon Musk sẽ cấy chip Neuralink

Trong một sự kiện tuyển dụng tối ngày 30/11 của startup Neuralink, Elon Musk chia sẻ bản thân sẽ cấy chip não.

Địa chỉ xem trực tiếp World Cup 2022, Costa Rica vs Đức, 2h00 ngày 2/12

Kênh VTV2 để xem trận đấu giữa Costa Rica và Đức hôm nay có trên những hệ thống truyền hình trực tuyến như VTV News, VTV Go, VTVcab ON, hay cả FPT Play, TV360...

Địa chỉ xem trực tiếp World Cup 2022, Nhật Bản vs Tây Ban Nha, 2h00 ngày 2/12

Kênh VTV3 để xem trận đấu giữa Nhật Bản vs Tây Ban Nha hôm nay có trên những hệ thống truyền hình trực tuyến như VTV News, VTV Go, VTVcab ON, hay cả FPT Play, TV360...

Giả mạo thương hiệu chiếm trên 72% các hình thức lừa đảo trực tuyến

Theo thống kê của Cục An toàn thông tin, các hình thức lừa đảo trực tuyến trong thời gian qua chủ yếu là giả mạo thương hiệu, chiếm 72,6% và giả mạo chiếm đoạt tài khoản trực tuyến, chiếm 11,4%.

Công nghệ mới trong cuộc đua chip máy tính Icon

Các nhà khoa học và startup trên khắp thế giới đang đẩy mạnh phát triển chip máy tính năng lượng thấp, vừa ít gây hại cho môi trường, vừa nâng cấp chất lượng tốt hơn.

Đang cập nhật dữ liệu !