Làm thế nào báo cáo các công ty, nếu bạn phát hiện ra sản phẩm của họ chứa lỗ hổng nghiêm trọng?

ictnews Nếu bạn phát hiện ra một lỗ hổng bảo mật lớn trong phần cứng hoặc phần mềm của một công ty công nghệ, điều tốt nhất bạn có thể làm là tiếp cận và hy vọng sẽ nhận được phản hồi từ công ty. Đặc biệt, đừng cố tống tiền công ty!

Grant Thompson và mẹ cậu bé, người đã cố gắng liên hệ với Apple để thông báo về lỗ hổng trong FaceTime

Nếu bạn thấy phát hiện ra một lỗ hổng bảo mật lớn trong phần cứng hoặc phần mềm của một công ty công nghệ, điều tốt nhất bạn có thể làm là tiếp cận và hy vọng sẽ nhận được phản hồi từ công ty.

Và nếu bạn không nhận được phản hồi, bạn sẽ kết thúc như Grant Thomas, cậu bé 14 tuổi, người đã tìm thấy một lỗ hổng bảo mật nghiêm trọng trong ứng dụng gọi điện thoại FaceTime của Apple.

Nhiều công ty đang gấp rút tìm ra cách tốt nhất và nhanh nhất để mọi người có thể thực hiện những bước đầu tiên nhằm thông báo cho công ty về lỗ hổng họ phát hiện ra.

Tuy nhiên, có nhiều cách để tạo sự khác biệt đẳng cấp khi bạn tìm thấy một lỗ hổng. Và nó có thể giúp bạn kiếm thêm tiền.

9 ngày sau Apple mới phản hồi lỗ hổng FaceTime

Thompson, một học sinh trung học ở Tucson, Ariz., đã tìm ra lỗi FaceTime trong phần mềm iOS của Apple. Apple đã cung cấp một địa chỉ email dành riêng cho các nhà nghiên cứu bảo mật tại đại chỉ Product-security@apple.com, nhưng lại không liệt kê địa chỉ đó trên trang hỗ trợ khách hàng của công ty. Vì vậy, mẹ của Thompson đã cố gắng thu hút sự chú ý trên tài khoản Twitter @AppleSupport và cuối cùng đã tự mình đăng tải tin tức.

Chín ngày sau khi phát hiện ra, Apple đã phản ứng bằng cách hủy kích hoạt FaceTime. Công ty đã phát hành bản vá cho iOS và macOS. Kể từ đó, Apple cho biết sẽ trả cho Thompson một khoản tiền thưởng.

Tiền thưởng cho công phát hiện lỗi là phần thưởng, thường là tiền mặt, được các công ty trả cho các nhà nghiên cứu, những người tự tin báo cáo các lỗ hổng cho họ. Mức thưởng có thể bắt đầu ở mức dưới 200 USD và leo lên hàng chục ngàn USD, tùy thuộc vào mức độ nghiêm trọng.

Theo quan điểm của nhà nghiên cứu bảo mật, tình hình sẽ tệ hơn nếu ai đó phát hiện ra lỗ hổng và cố gắng liên hệ với công ty nhưng không được, để cuối cùng lỗ hổng bị lọt ra ngoài.

Vấn đề là tồi tệ hơn nhiều ở nơi khác

 

Chỉ có 6% doanh nghiệp trong danh sách Forbes Global 2000 có kênh báo cáo bảo mật chuyên dụng.

Trong khi đó, nhiều công ty nhận được báo cáo lỗ hổng lại không xử lý chúng đúng cách. Trong một trường hợp đáng nhớ năm 2018, nhà nghiên cứu bảo mật Google Natalie Silvanovich đã cố gắng thông báo cho Samsung về một lỗi trên điện thoại Galaxy S7 Edge nhưng đã được chuyển sang một loạt các thỏa thuận “cấm tiết lộ” và thỏa thuận lại được viết bằng tiếng Hàn. Sau một tuần, Silvanovich đã liên lạc với những người mà cô biết tại nhóm bảo mật Knox của Samsung. Cuối cùng, cô được tư vấn về một địa chỉ email mà Samsung hầu như không bao giờ quảng bá nó. Về sau, Samsung đã sửa quy trình đó.

Không ai thích áp lực bên ngoài và rất ít trong số các công ty đó có quy trình tốt để xử lý các sự cố này, ông Rich Rich Mogull, CEO của công ty bảo mật Securosis, giải thích qua email.

Bạn nên làm gì?

Tuy nhiên, hai nhà nghiên cứu khác nói rằng mọi thứ ít nhất đã được cải thiện so với vài năm trước.

Chris Vickery, giám đốc nghiên cứu của UpGuard Security cho biết, các công ty lớn hơn đang ngày càng giáo dục nhân viên của họ về cách ứng phó sự cố phù hợp.

“Nói chung, tôi cảm thấy rằng các công ty dễ tiếp nhận các báo cáo bảo mật hơn và cũng sẵn sàng chấp nhận rằng họ có thể có lỗi trong sản phẩm của họ”, Chris Vickery nói.

Đầu tiên, đừng công khai lỗ hổng, vì nó sẽ khiến những kẻ tấn công đánh hơi được và tìm cách khai thác nó.

Tiếp theo, hãy ghi lại mọi nỗ lực bạn đã làm để thông báo cho công ty. Mọi cuộc gọi và email cần đuộc ghi lại.

Xem xét đến việc báo lỗ hổng cho một bên thứ ba đáng tin cậy. Với một số lỗ hổng, có thể liên lạc với các trung tâm ứng cứu khẩn cấp hoặc các cơ quan chính phủ.

Và cần nhớ là đừng cố tống tiền công ty. Hãy làm mọi việc trên tinh thần xây dựng. “Đừng đe dọa, hãy trở nên có ích”, đó là lời khuyên được đưa ra khi bạn phát hiện ra một lỗ hổng nào đó.

Chủ đề : cntt
 
List comment
 
Gojek chuẩn bị thông báo sa thải nhân sự
icon

Nguồn tin của Reuters tiết lộ hãng gọi xe Gojek sẽ thông báo sa thải nhân sự trong tuần này dù công ty Indonesia từ chối bình luận.  

 
Trình dự thảo Chỉ thị về đẩy nhanh tiến độ thu phí điện tử không dừng trước 15/7
icon

Bộ Giao thông Vận tải vừa được giao chủ trì xây dựng dự thảo Chỉ thị của Thủ tướng Chính phủ về đẩy nhanh tiến độ triển khai thu phí dịch vụ sử dụng đường bộ theo hình thức điện tử không dừng, trình Thủ tướng Chính phủ trước 15/7/2020.

 
Sửa đổi Luật Giao dịch điện tử cần đáp ứng nhu cầu phát triển Chính phủ điện tử
icon

Theo Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng, các nội dung của Luật Giao dịch điện tử cần được sửa đổi, bổ sung, điều chỉnh để đáp ứng nhu cầu phát triển Chính phủ điện tử, hướng tới Chính phủ số, kinh tế số và cuộc cách mạng 4.0.

 
Ba bộ bị nêu tên vì gây khó khi “điện tử hóa” thủ tục hành chính
icon

Cơ chế một cửa giúp cải thiện thời gian thực hiện thủ tục hành chính, tuy nhiên sự thay đổi ở các bộ ngành không đồng đều. Trong 5 bộ được khảo sát, 3 bộ được nêu tên vì thủ tục hành chính khi “điện tử hóa” vẫn còn gây khó. 

 
Thêm tỉnh Bình Dương cán mốc 30% dịch vụ công trực tuyến mức 4
icon

Bình Dương hiện đã cung cấp 754 dịch vụ công trực tuyến mức 4 cho người dân, doanh nghiệp, đạt 38,45%. Đây là địa phương thứ tám trong cả nước hoàn thành chỉ tiêu cung cấp 30% dịch vụ công trực tuyến mức 4.

 
 
Hưởng chiết khấu 5% khi thanh toán online cùng Mobifone
icon

Thanh toán online thực sự nở rộ trong mùa dịch và đây cũng là cơ hội để bạn được hưởng chiết khấu khi thanh toán - nạp tiền trực tuyến trên các nền tảng của MobiFone.

Làn sóng tẩy chay công nghệ Trung Quốc tại Ấn Độ
icon

Giới phân tích cho rằng doanh nghiệp công nghệ Trung Quốc nên chuẩn bị cho hậu quả kinh tế sau vụ đụng độ chết chóc giữa binh lính Ấn Độ và Trung Quốc tại biên giới hai nước.

Bổ sung 2 hướng kết nối, Internet Việt Nam đi quốc tế sẽ có giá thành thấp hơn
icon

Theo đại diện Hiệp hội Internet Việt Nam, thời gian tới, với việc 2 tuyến cáp biển ADC, SJC2 được đưa vào khai thác, Việt Nam sẽ có nhiều hướng kết nối quốc tế hơn. Do đó, Internet sẽ có chất lượng ổn định và giá thành thấp hơn.

Nhiều nhãn hàng đồng loạt tẩy chay Facebook
icon

Hãng quần áo dã ngoại nổi tiếng The North Face là công ty mới nhất cam kết tẩy chay quảng cáo trên Facebook để phản đối cách xử lý thông tin sai lệch và phát ngôn thù địch.

Đây là lý do vì sao cổ phiếu Apple lên đỉnh dù vẫn ngập tràn khó khăn vì Covid-19 và bạo loạn tại Mỹ
icon

Trị giá cổ phiếu gắn với niềm tin. Và Phố Wall có 2 lý do để tin vào một tương lai tươi sáng đang chờ đợi Apple.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123