Grant Thompson và mẹ cậu bé, người đã cố gắng liên hệ với Apple để thông báo về lỗ hổng trong FaceTime

Nếu bạn thấy phát hiện ra một lỗ hổng bảo mật lớn trong phần cứng hoặc phần mềm của một công ty công nghệ, điều tốt nhất bạn có thể làm là tiếp cận và hy vọng sẽ nhận được phản hồi từ công ty.

Và nếu bạn không nhận được phản hồi, bạn sẽ kết thúc như Grant Thomas, cậu bé 14 tuổi, người đã tìm thấy một lỗ hổng bảo mật nghiêm trọng trong ứng dụng gọi điện thoại FaceTime của Apple.

Nhiều công ty đang gấp rút tìm ra cách tốt nhất và nhanh nhất để mọi người có thể thực hiện những bước đầu tiên nhằm thông báo cho công ty về lỗ hổng họ phát hiện ra.

Tuy nhiên, có nhiều cách để tạo sự khác biệt đẳng cấp khi bạn tìm thấy một lỗ hổng. Và nó có thể giúp bạn kiếm thêm tiền.

9 ngày sau Apple mới phản hồi lỗ hổng FaceTime

Thompson, một học sinh trung học ở Tucson, Ariz., đã tìm ra lỗi FaceTime trong phần mềm iOS của Apple. Apple đã cung cấp một địa chỉ email dành riêng cho các nhà nghiên cứu bảo mật tại đại chỉ Product-security@apple.com, nhưng lại không liệt kê địa chỉ đó trên trang hỗ trợ khách hàng của công ty. Vì vậy, mẹ của Thompson đã cố gắng thu hút sự chú ý trên tài khoản Twitter @AppleSupport và cuối cùng đã tự mình đăng tải tin tức.

Chín ngày sau khi phát hiện ra, Apple đã phản ứng bằng cách hủy kích hoạt FaceTime. Công ty đã phát hành bản vá cho iOS và macOS. Kể từ đó, Apple cho biết sẽ trả cho Thompson một khoản tiền thưởng.

Tiền thưởng cho công phát hiện lỗi là phần thưởng, thường là tiền mặt, được các công ty trả cho các nhà nghiên cứu, những người tự tin báo cáo các lỗ hổng cho họ. Mức thưởng có thể bắt đầu ở mức dưới 200 USD và leo lên hàng chục ngàn USD, tùy thuộc vào mức độ nghiêm trọng.

Theo quan điểm của nhà nghiên cứu bảo mật, tình hình sẽ tệ hơn nếu ai đó phát hiện ra lỗ hổng và cố gắng liên hệ với công ty nhưng không được, để cuối cùng lỗ hổng bị lọt ra ngoài.

Vấn đề là tồi tệ hơn nhiều ở nơi khác

Chỉ có 6% doanh nghiệp trong danh sách Forbes Global 2000 có kênh báo cáo bảo mật chuyên dụng.

Trong khi đó, nhiều công ty nhận được báo cáo lỗ hổng lại không xử lý chúng đúng cách. Trong một trường hợp đáng nhớ năm 2018, nhà nghiên cứu bảo mật Google Natalie Silvanovich đã cố gắng thông báo cho Samsung về một lỗi trên điện thoại Galaxy S7 Edge nhưng đã được chuyển sang một loạt các thỏa thuận “cấm tiết lộ” và thỏa thuận lại được viết bằng tiếng Hàn. Sau một tuần, Silvanovich đã liên lạc với những người mà cô biết tại nhóm bảo mật Knox của Samsung. Cuối cùng, cô được tư vấn về một địa chỉ email mà Samsung hầu như không bao giờ quảng bá nó. Về sau, Samsung đã sửa quy trình đó.

Không ai thích áp lực bên ngoài và rất ít trong số các công ty đó có quy trình tốt để xử lý các sự cố này, ông Rich Rich Mogull, CEO của công ty bảo mật Securosis, giải thích qua email.

Bạn nên làm gì?

Tuy nhiên, hai nhà nghiên cứu khác nói rằng mọi thứ ít nhất đã được cải thiện so với vài năm trước.

Chris Vickery, giám đốc nghiên cứu của UpGuard Security cho biết, các công ty lớn hơn đang ngày càng giáo dục nhân viên của họ về cách ứng phó sự cố phù hợp.

“Nói chung, tôi cảm thấy rằng các công ty dễ tiếp nhận các báo cáo bảo mật hơn và cũng sẵn sàng chấp nhận rằng họ có thể có lỗi trong sản phẩm của họ”, Chris Vickery nói.

Đầu tiên, đừng công khai lỗ hổng, vì nó sẽ khiến những kẻ tấn công đánh hơi được và tìm cách khai thác nó.

Tiếp theo, hãy ghi lại mọi nỗ lực bạn đã làm để thông báo cho công ty. Mọi cuộc gọi và email cần đuộc ghi lại.

Xem xét đến việc báo lỗ hổng cho một bên thứ ba đáng tin cậy. Với một số lỗ hổng, có thể liên lạc với các trung tâm ứng cứu khẩn cấp hoặc các cơ quan chính phủ.

Và cần nhớ là đừng cố tống tiền công ty. Hãy làm mọi việc trên tinh thần xây dựng. “Đừng đe dọa, hãy trở nên có ích”, đó là lời khuyên được đưa ra khi bạn phát hiện ra một lỗ hổng nào đó.