Làm thế nào báo cáo các công ty, nếu bạn phát hiện ra sản phẩm của họ chứa lỗ hổng nghiêm trọng?

ictnews Nếu bạn phát hiện ra một lỗ hổng bảo mật lớn trong phần cứng hoặc phần mềm của một công ty công nghệ, điều tốt nhất bạn có thể làm là tiếp cận và hy vọng sẽ nhận được phản hồi từ công ty. Đặc biệt, đừng cố tống tiền công ty!

Grant Thompson và mẹ cậu bé, người đã cố gắng liên hệ với Apple để thông báo về lỗ hổng trong FaceTime

Nếu bạn thấy phát hiện ra một lỗ hổng bảo mật lớn trong phần cứng hoặc phần mềm của một công ty công nghệ, điều tốt nhất bạn có thể làm là tiếp cận và hy vọng sẽ nhận được phản hồi từ công ty.

Và nếu bạn không nhận được phản hồi, bạn sẽ kết thúc như Grant Thomas, cậu bé 14 tuổi, người đã tìm thấy một lỗ hổng bảo mật nghiêm trọng trong ứng dụng gọi điện thoại FaceTime của Apple.

Nhiều công ty đang gấp rút tìm ra cách tốt nhất và nhanh nhất để mọi người có thể thực hiện những bước đầu tiên nhằm thông báo cho công ty về lỗ hổng họ phát hiện ra.

Tuy nhiên, có nhiều cách để tạo sự khác biệt đẳng cấp khi bạn tìm thấy một lỗ hổng. Và nó có thể giúp bạn kiếm thêm tiền.

9 ngày sau Apple mới phản hồi lỗ hổng FaceTime

Thompson, một học sinh trung học ở Tucson, Ariz., đã tìm ra lỗi FaceTime trong phần mềm iOS của Apple. Apple đã cung cấp một địa chỉ email dành riêng cho các nhà nghiên cứu bảo mật tại đại chỉ Product-security@apple.com, nhưng lại không liệt kê địa chỉ đó trên trang hỗ trợ khách hàng của công ty. Vì vậy, mẹ của Thompson đã cố gắng thu hút sự chú ý trên tài khoản Twitter @AppleSupport và cuối cùng đã tự mình đăng tải tin tức.

Chín ngày sau khi phát hiện ra, Apple đã phản ứng bằng cách hủy kích hoạt FaceTime. Công ty đã phát hành bản vá cho iOS và macOS. Kể từ đó, Apple cho biết sẽ trả cho Thompson một khoản tiền thưởng.

Tiền thưởng cho công phát hiện lỗi là phần thưởng, thường là tiền mặt, được các công ty trả cho các nhà nghiên cứu, những người tự tin báo cáo các lỗ hổng cho họ. Mức thưởng có thể bắt đầu ở mức dưới 200 USD và leo lên hàng chục ngàn USD, tùy thuộc vào mức độ nghiêm trọng.

Theo quan điểm của nhà nghiên cứu bảo mật, tình hình sẽ tệ hơn nếu ai đó phát hiện ra lỗ hổng và cố gắng liên hệ với công ty nhưng không được, để cuối cùng lỗ hổng bị lọt ra ngoài.

Vấn đề là tồi tệ hơn nhiều ở nơi khác

 

Chỉ có 6% doanh nghiệp trong danh sách Forbes Global 2000 có kênh báo cáo bảo mật chuyên dụng.

Trong khi đó, nhiều công ty nhận được báo cáo lỗ hổng lại không xử lý chúng đúng cách. Trong một trường hợp đáng nhớ năm 2018, nhà nghiên cứu bảo mật Google Natalie Silvanovich đã cố gắng thông báo cho Samsung về một lỗi trên điện thoại Galaxy S7 Edge nhưng đã được chuyển sang một loạt các thỏa thuận “cấm tiết lộ” và thỏa thuận lại được viết bằng tiếng Hàn. Sau một tuần, Silvanovich đã liên lạc với những người mà cô biết tại nhóm bảo mật Knox của Samsung. Cuối cùng, cô được tư vấn về một địa chỉ email mà Samsung hầu như không bao giờ quảng bá nó. Về sau, Samsung đã sửa quy trình đó.

Không ai thích áp lực bên ngoài và rất ít trong số các công ty đó có quy trình tốt để xử lý các sự cố này, ông Rich Rich Mogull, CEO của công ty bảo mật Securosis, giải thích qua email.

Bạn nên làm gì?

Tuy nhiên, hai nhà nghiên cứu khác nói rằng mọi thứ ít nhất đã được cải thiện so với vài năm trước.

Chris Vickery, giám đốc nghiên cứu của UpGuard Security cho biết, các công ty lớn hơn đang ngày càng giáo dục nhân viên của họ về cách ứng phó sự cố phù hợp.

“Nói chung, tôi cảm thấy rằng các công ty dễ tiếp nhận các báo cáo bảo mật hơn và cũng sẵn sàng chấp nhận rằng họ có thể có lỗi trong sản phẩm của họ”, Chris Vickery nói.

Đầu tiên, đừng công khai lỗ hổng, vì nó sẽ khiến những kẻ tấn công đánh hơi được và tìm cách khai thác nó.

Tiếp theo, hãy ghi lại mọi nỗ lực bạn đã làm để thông báo cho công ty. Mọi cuộc gọi và email cần đuộc ghi lại.

Xem xét đến việc báo lỗ hổng cho một bên thứ ba đáng tin cậy. Với một số lỗ hổng, có thể liên lạc với các trung tâm ứng cứu khẩn cấp hoặc các cơ quan chính phủ.

Và cần nhớ là đừng cố tống tiền công ty. Hãy làm mọi việc trên tinh thần xây dựng. “Đừng đe dọa, hãy trở nên có ích”, đó là lời khuyên được đưa ra khi bạn phát hiện ra một lỗ hổng nào đó.

Chủ đề : cntt
 
List comment
 
Keysight Technologies ra mắt máy hiện sóng tín hiệu hỗn hợp Infiniium MXR Series mới
icon

Máy hiện sóng tín hiệu hỗn hợp Infiniium MXR Series mới của Keysight Technologies là sự kết hợp hiệu quả giải pháp đo kiểm 8 trong 1 với hiệu năng trên 8 kênh đồng thời, giúp các kỹ sư nhanh chóng đưa ra giải pháp khi phát hiện vấn đề.

 
24.000 ứng dụng Android từ Play Store đe dọa dữ liệu người dùng
icon

Trong khi Google phải đối phó với sự trở lại của các ứng dụng gián điệp, một vấn đề khác đang xuất hiện trên Play Store. Theo các nhà nghiên cứu từ công ty bảo mật máy tính Comparitech, có một lỗ hổng bảo mật quan trọng nằm ở nền tảng lưu trữ ứng dụng FireBase.

 
Quân đội Mỹ nghiên cứu thiết bị đeo giúp phát hiện nhanh Covid-19
icon

Theo thông tin từ phương tiện truyền thông, Quân đội Mỹ đã ký hợp đồng nghiên cứu và phát triển trị giá 25 triệu USD với một công ty công nghệ nhằm phát triển một thiết bị đeo giúp phát hiện các triệu chứng ban đầu của Covid-19.

 
VNCS phân phối các sản phẩm bảo mật của Honeywell tại Việt Nam
icon

Công ty cổ phần an ninh không gian mạng Việt Nam (VNCS) vừa ký kết hợp tác và chính thức trở thành đối tác phân phối sản phẩm thuộc lĩnh vực Cyber Security của Honeywell.

 
Long An xây dựng các câu chuyện truyền thanh hướng dẫn người dân ứng dụng CNTT
icon

Từ nay đến cuối năm 2020, một trong những hình thức tuyên truyền sẽ được Long An triển khai là xây dựng và phát thanh các câu chuyện truyền thanh, bản tin tuyên truyền để hướng dẫn cách sử dụng các hệ thống ứng dụng CNTT của tỉnh.

 
TSMC chưa có kế hoạch xây dựng nhà máy tại Mỹ
icon

Thông tin từ nhà sản xuất bộ vi xử lý Đài Loan TSMC cho biết, hiện tại công ty chưa có kế hoạch cụ thể để triển khai xây dựng nhà máy tại Mỹ vì phải xem xét ba điều kiện quan trọng bao gồm hiệu quả kinh tế, lợi thế chi phí và chuỗi cung ứng nhân sự hay nguồn cung ứng.

Triển khai phần mềm rà soát quy định về kinh doanh trong tháng 5/2020
icon

Theo kế hoạch cắt giảm, đơn giản hóa quy định liên quan đến hoạt động kinh doanh năm 2020, trong tháng 5/2020, hệ thống phần mềm thống kê, rà soát quy định liên quan đến hoạt động kinh doanh sẽ được xây dựng xong và đưa vào sử dụng.

Hà Tĩnh làm phần mềm hỗ trợ trả trợ cấp cho người khó khăn vì Covid-19
icon

Hệ thống phần mềm hỗ trợ chi trả trợ cấp cho người dân gặp khó khăn do dịch Covid-19 được Sở TT&TT Hà Tĩnh chủ trì xây dựng đã giúp đẩy nhanh quá trình rà soát, chống trùng lặp các đối tượng được hưởng chính sách.

Facebook, YouTube xóa video thuyết âm mưu Plandemic về dịch Covid-19
icon

Các mạng xã hội như Facebook, YouTube, Vimeo đã xóa video thuyết âm mưu Covid-19 mang tên 'Plandemic' đang được chia sẻ rộng rãi.

Microsoft chặn tính năng 'reply-all' để tránh bão email
icon

Microsoft đang triển khai tính năng mới, chặn “reply-all” trong Office 365 và Exchange Online. Tính năng này được thiết kế nhằm ngăn chặn các cơn bão email đổ bộ không cần thiết vào hộp thư đến của người dùng.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123