Săn trăm nghìn USD tiền thưởng từ lỗ hổng bảo mật

Nhiều hacker đang chuyển việc tìm lỗi bảo mật từ bán thời gian thành nghề chính.

Trong năm 2002, khi nhắc đến Tommy DeVoss, nhiều người lập tức nghĩ đến một hacker khét tiếng bị FBI truy lùng, bị căm ghét do tấn công vào website chính phủ, cơ quan, tổ chức, doanh nghiệp, trong đó có cả "ông lớn" Internet thời đó là Yahoo!.

Nhưng 10 năm sau, nhiều tổ chức lớn sẵn sàng trả cho DeVoss hàng chục ngàn USD, thậm chí trăm ngàn USD để người này tấn công hệ thống.

Tìm lỗ hổng bảo mật là một cách để hacker "mũ trắng" kiếm tiền.

Lý do là, việc phát hiện lỗ hổng bảo mật mang lại cho hacker này nhiều tiền hơn là làm việc với tư cách một nhà phát triển. Ngày nay, những công ty nhỏ cần chuyên gia tư vấn an toàn dữ liệu, trong khi công ty lớn hơn cũng cần tăng thêm an ninh cho hệ thống. Đó là nhu cầu thiết yếu của một doanh nghiệp.

Khi còn tuổi thiếu niên, DeVoss đã bắt đầu đột nhập vào các website chính phủ và lấy đi rất nhiều dữ liệu. Nhóm hacker World of Hell có DeVoss là thành viên đã can thiệp hơn 160 website, trước khi bị FBI truy nã và tan rã năm 2003. Bản thân DeVoss ngồi tù nhiều năm.

Sau khi ra tù, DeVoss may mắn được nhận vào một công ty phát triển phần mềm nhỏ. Sau khi mày mò, anh đã phát hiện một lỗi trong Facebook. Sau đó, anh tiếp tục tìm lỗi trên các dịch vụ trực tuyến khác.

"Thật khó tin, họ trả tiền cho tôi, không gọi FBI nữa", DeVoss kể lại.

Những khoản thưởng đầu tiên làm DeVoss hứng thú. Thế nhưng, anh đã phải đấu tranh với chính mình trong thời gian dài trước khi làm một chuyên gia phát hiện lỗ hổng bảo mật. Anh chấp nhận từ bỏ mức thu nhập 90.000 USD mỗi năm của một nhà phát triển để đi săn lỗi toàn thời gian.

Năm 2015, DeVoss đến Defcon - cuộc thì tìm lỗ hổng bảo mật lớn nhất thế giới dành cho hacker được tổ chức thường niên tại Las Vegas (Mỹ) - và kiếm được 300 USD từ phát hiện của mình trên website Yahoo!. "Tôi đã kiếm được 300 USD từ việc tìm kiếm trên Google", anh hài hước cho biết.

Nhưng đây cũng là số tiền mang tính bước ngoặt khi nhiều người biết đến anh. Sau đó, đã có công ty trả 9.000 USD cho một lỗ hổng bảo mật duy nhất. Hiện nay, mỗi năm anh thu về hơn 100.000 USD, riêng tháng 7 vừa qua anh đã nhận được 84.000 USD cho phát hiện của mình.

DeVoss chưa phải là hacker "mũ trắng" kiếm tiền nhiều nhất từ săn lỗi bảo mật. Mark Litchfield mỗi năm kiếm khoảng nửa triệu USD (riêng 2016 ông kiếm được 600.000 USD). Nhiều hacker khác thu nhập thấp hơn một chút nhưng tổng tiền thưởng mỗi năm cũng không phải là ít.

Trên thực tế, những tay săn lỗi bảo mật luôn bận rộn vì nhu cầu từ chính phủ, tổ chức và doanh nghiệp rất cao. Ngay cả những công ty hàng đầu thế giới như Google, Apple, Facebook , Chrysler, United Airlines... thậm chí là Bộ Quốc phòng Mỹ cũng thường tổ chức các cuộc thi tìm lỗi dù sở hữu đội ngũ chuyên gia bảo mật hùng hậu và rất giỏi chuyên môn. Theo thống kê của Bugcrowd, số tiền chi cho hoạt động tìm lỗi tại Mỹ trong 2016 lên tới 6,3 triệu USD, với hơn 52.000 lỗ hổng được phát hiện.

"Điều này giống như thuê trộm về để xem nhà mình có dễ bị đột nhập hay không", một chuyên gia cho biết.

Như vậy, nếu hệ thống càng dễ bị khai thác thì nguy cơ mất an toàn bảo mật càng cao, từ đó tiền thưởng thu về càng nhiều. Tất nhiên, nó không là gì so với thiệt hại khi bị kẻ xấu lợi dụng.

Nhưng không phải ai cũng "liều mình" tập trung săn lỗi như DeVoss hay Litchfield. Số liệu Bugcrowd chỉ ra rằng, trong khoảng 53.000 "thợ săn" đang hoạt động mỗi tháng, chỉ khoảng 15% hoạt động toàn thời gian. Đa phần họ đều không muốn từ bỏ nghề mình đang làm để chuyển qua công việc săn lỗi bấp bênh hơn.

Điều mà "thợ săn" lo sợ nhất, chính là việc tìm lỗi bị trùng lặp. Litchfield kể lại, năm 2015, anh từng phát hiện một lỗi của PayPal và được thưởng 15.000 USD. Vài ngày sau đó, nhóm hoạt động độc lập khác tìm thấy lỗi tương tự và được thưởng 5.000 USD "an ủi".

"Trong hầu hết các trường hợp, việc tìm ra lỗi trùng lặp sẽ không được thưởng. Nó xảy ra với bất cứ 'thợ săn' nào và ai gặp phải cũng có thể mang cảm giác bực bội một cách ghê gớm vì đã bỏ nhiều công sức và thời gian nhưng không thu được gì", Litchfield nhấn mạnh.

Tuy vậy, theo thống kê của HackerOne, tổ chức chuyên vận hành rất nhiều chương trình săn thưởng cho nhiều công ty lớn như Yahoo!, Twitter, Google, Facebook, Microsoft…các "thợ săn" vẫn còn rất nhiều đất diễn. Có tới 94% trong tổng số 2.000 công ty lớn nhất thế giới theo xếp hạng của Forbes đang đối mặt với nguy cơ cao bị hacker tấn công. Do đó việc phát hiện lỗ hổng bảo mật vẫn là "mỏ vàng" cần được khai thác.

Theo Bảo Lâm (VnExpress.net)

Lượng người bán iPhone 8 để mua iPhone X tăng đột biến

Rất nhiều người dùng iPhone 8 tại Mỹ đang rao bán điện thoại của họ trên chợ đồ cũ để nâng cấp iPhone X sắp lên kệ đầu tháng sau.

Bộ đôi iPhone 8 đang bị người Mỹ rao bán để nâng cấp iPhone X.

Theo số liệu thống kê từ website chuyên mua bán đồ công nghệ cũ Declutter, có rất nhiều người Mỹ đang rao bán iPhone 8 và iPhone 8 Plus sau khi mua về khoảng hơn một tháng. Cụ thể, có tới 7% lượng iPhone đang rao báo trên website này là bộ đôi iPhone mới nhất và đây là con số "bất thường", bởi lượng iPhone 6s trước đó bị rao bán nhiều nhất cũng chỉ chiếm 2% trong cùng thời gian.

"Việc người dùng bán iPhone đời cũ để nâng cấp iPhone đời mới là điều thường xảy ra. Tuy nhiên, chưa có sản phẩm nào vừa mua đã bị bán ra với số lượng lớn như iPhone 8 và iPhone 8 Plus", đại diện Declutter nhận định.

Hành động "bán tống bán tháo" bộ đôi iPhone mới không quá khó hiểu. Theo Cnet, iPhone X chính là nguyên nhân. Đây là sản phẩm có thiết kế đột phá, trong khi iPhone 8 vẫn đi theo lối mòn cách đây nhiều năm, cộng thêm các tính năng bên trong, việc người Mỹ "chán" iPhone 8 chỉ sau một tháng là điều có thể đoán trước.

iPhone X dự kiến cho đặt hàng vào 27/10 và bán ra đầu tiên tại một số thị trường trên thế giới.

Theo Bảo Lâm (VnExpress.net)

Hơn 27.000 người Việt lộ thông tin vì Facebook giả mạo của cầu thủ U23 Việt Nam

Theo thống kê sơ bộ của WhiteHat.vn, tính đến 15h ngày 30/1, đã có 27.000 người lộ các thông tin cá nhân khi like, share và làm theo yêu cầu của page Facebook giả mạo các cầu thủ và đội tuyển bóng đá U23 Việt Nam.

Diễn đàn an ninh mạng Việt Nam - WhiteHat.vn vừa đưa ra thông tin cảnh báo người dùng về tình trạng người dùng Facebook lộ thông tin cá nhân vì page giả mạo của các cầu thủ và đội tuyển bóng đá U23 Việt Nam.

Sau chiến thắng ấn tượng của đội tuyển bóng đá U23 Việt Nam kể từ trận bán kết giải Vô địch bóng đá U23 châu Á (AFC) 2018, trên mạng xã hội Facebook đã xuất hiện hàng loạt các tài khoản mạo danh cầu thủ, huấn luyện viên của đội tuyển. Theo trào lưu những ngày gần đây, kẻ xấu liên tục tạo các trang cá nhân, page giả mạo của các cầu thủ và đội tuyển bóng đá nam U23 Việt Nam.

Ông Nguyễn Hữu Cường - Admin Diễn đàn an ninh mạng Việt Nam WhiteHat.vn nhận định,, các tài khoản giả mạo được tạo ra nhằm mục đích câu like, view, tăng số lượng bạn bè, lượt theo dõi. Về sau, những tài khoản này có thể được chuyển đổi sang dạng fanpage để bán hàng online, chạy các dịch vụ quảng cáo gây phiền hà cho người dùng, hoặc nguy hiểm hơn là trở thành phương tiện tấn công lừa đảo (phishing) của hacker.

Thông tin từ WhiteHat.vn, trong ngày 30/1, đã có thêm page giả mạo đội tuyển U23 Việt Nam. Đặc biệt hơn khi page này ngoài việc kiếm like, follow... còn chia sẻ thông tin giả mạo về việc "tặng mỗi cổ động viên 1 tờ lịch có hình tập thể và có tất cả chứ ký của thành phần đoàn và có đóng mọc của BTC giải"

Kẻ xấu còn yêu cầu các fan hâm mộ comment họ tên, số điện thoại, địa chỉ đồng thời like và share page. Theo thống kê ở thời điểm 15h ngày 30/1, đã có 27.000 người làm theo các yêu cầu trên.

Trong khi đó, theo dõi của ICTnews từ page giả mạo này cho thấy, tính đến thời điểm sáng nay, 31/1, lượng người làm theo các yêu cầu này đã lên tới con số trên 48.000. Hiện, trang fanpge giả mạo này đã có tới trên 124.000 lượt thích và 159.000 người theo dõi.

Quản trị diễn đàn WhiteHat.vn cho biết, việc này tiềm ẩn nguy cơ mất an toàn thông tin rất cao khi người dùng Facebook đã tự gửi các thông tin cá nhân của mình. Từ đây kẻ xấu có thể chiếm đoạt các tài khoản Facebook được bảo mật yếu và từ đó tiến hành lừa đảo bằng hình thức nhờ bạn bè mua thẻ cào hộ hoặc nhận tiền qua mạng. Ngoài ra người dùng có thể bị bán thông tin cho các dịch vụ quảng cáo, bị nhắn tin/gọi điện mời chào các dịch vụ nhà đất, bảo hiểm...

Theo đó, WhiteHat khuyến cáo người dùng cần cảnh báo trước các tin giả trên Facebook. Nếu gặp các trang giả mạo người dùng có thể tiến hành report để Facebook xử lý.

Hiện nay facebook đang là một dịch vụ được kẻ xấu hướng đến do lượng người dùng ở Việt Nam rất lớn. Do đó, WhiteHat cũng đưa ra các lưu ý cho người dùng cần cảnh giác với các hình thức tin giả, lừa đảo trên Facebook. Ngoài ra cần thiết lập các tính năng bảo mật nâng cao như xác thực 2 bước để đảm bảo an toàn cho tài khoản.

Theo D.V (Ictnews.vn)

Facebook thử nghiệm News Feed hai cột

Như là một phần của chiến lược chống tin tức giả mạo (fake news), Facebook đang thử nghiệm định dạng News Feed mới ở một số quốc gia, cho phép chia sẻ News Feed thành hai cột khác nhau.

Một số người dùng Facebook đang nhận được giao diện News Feed mới

Theo Neowin, các bài đăng cá nhân từ bạn bè và địa chỉ liên hệ khác, sẽ được trình bày trong một News Feed, trong khi các bài đăng từ trang tin hoặc tổ chức thương mại sẽ được hiển thị trong News Feed thứ hai được gọi là Explorer Feed ở một số quốc gia dùng thử. News Feed thứ hai yêu cầu người dùng nhấp vào để cuộn qua trang.

Động thái này rõ ràng đang được xem xét để người dùng có thể gắn kết chặt chẽ hơn với các bài viết từ gia đình họ và giải quyết thách thức về sự sụp đổ của ngữ cảnh - nơi người dùng không còn đăng về cuộc sống cá nhân của họ nữa, trong khi nó cũng cung cấp một không gian riêng để tìm các trang mà họ có thể quan tâm.

Quan điểm khác về lý do tại sao Facebook muốn thay đổi giao diện News Feed đó là vì công ty sẽ tăng thu nhập từ các tổ chức thanh toán cho quảng cáo nhằm cho các bài viết của họ được xuất hiện trên đó. Sự thay đổi này có thể dẫn đến việc các trang tin tức nhỏ phải cạnh tranh mạnh hơn với các trang tin tức lớn vì các ông lớn thường có khả năng kiếm tiền nhiều hơn.

Báo cáo từ một nhà báo ở Slovakia cho biết, Explorer Feed mới đã dẫn đến sự sụt giảm lớn trong số lượt tiếp xúc với trang. Tuy nhiên, News Feed bị phân tách đã có một số vấn đề về kỹ thuật và vẫn chưa đủ thời gian để giải quyết, do đó có thể là quá sớm để đánh giá hiệu quả chung của nó.

Facebook nói rằng động thái này sẽ không được thử nghiệm trên toàn cầu và nhiều khả năng được thử nghiệm ít nhất vài tháng tại Bolivia, Campuchia, Guatemala, Serbia, Slovakia và Sri Lanka trước khi triển khai đến cộng đồng người dùng.

Theo Thành Luân (Thanh Niên Online)

Mỹ tiếp tục điều tra bê bối giảm hiệu năng iPhone của Apple

Sau khi bị Thượng nghị sĩ Mỹ yêu cầu Apple giải thích nguyên nhân làm chậm iPhone, đến lượt Bộ Tư pháp Mỹ vào cuộc.

Vấn đề giảm hiệu năng iPhone để đối phó với tình trạng chai pin tiếp tục khiến Apple gặp rắc rối, khi Bộ Tư pháp Mỹ (DoJ) và Ủy ban Chứng khoán và Hối đoái Mỹ (SEC) đã vào cuộc điều tra, theo Bloomberg. Cả hai đang làm việc để xác định xem Apple đã vi phạm những luật nào khi triển khai iOS 10.2.1 - phiên bản ngăn chặn iPhone đời cũ tắt nguồn đột ngột do pin.

Theo nguồn tin, cả DoJ và SEC đã yêu cầu Apple cung cấp thông tin để phục vụ cho việc điều tra. Hiện hai cơ quan này đang thu thập chứng cứ, phân tích và cho biết sẽ "có kết quả sớm".

Apple tiếp tục gặp rắc rối do hạ hiệu năng iPhone đời cũ.

Trước đó, một Thượng nghị sĩ Mỹ cũng đã yêu cầu Apple giải trình về vấn đề giảm hiệu năng iPhone. Theo Reuters, Thượng nghị sĩ John Thune, đảng viên đảng Cộng hòa, người đứng đầu Ủy ban Thương mại, Khoa học và Giao thông vận tải Mỹ đã gửi thư đến CEO Tim Cook hôm 9/1, trong đó đề cập đến việc vì sao Apple lại làm chậm iPhone đời cũ bằng cách can thiệp vào tính năng quản lý năng lượng trên iOS 10.2.1. Tuy nhiên, cho đến nay Apple vẫn chưa có câu trả lời.

Kể từ bản iOS 10.2.1, Apple đã âm thầm tích hợp "tính năng" làm chậm iPhone đời cũ nhằm tránh việc chai pin. Tuy nhiên, hãng đã không giải thích rõ ràng cho đến khi vấn đề bị phát hiện cuối năm ngoái.

Apple sau đó đã lên tiếng xin lỗi người dùng, đồng thời triển khai chương trình thay pin với giá ưu đãi từ 79 USD xuống còn 29 USD tại nhiều thị trường trên thế giới, trong đó có Việt Nam. Tuy nhiên, chính chương trình này cũng vấp phải sự phản đối lớn từ phía người dùng, cho rằng hãng "kiếm tiền ngay cả khi gây ra lỗi" và yêu cầu thay thế miễn phí.

Không những thế, nhiều vụ kiện liên quan đến việc Apple giảm hiệu năng iPhone cũng xảy ra tại nhiều nơi, gồm Mỹ, Trung Quốc, Italy, Hàn Quốc, Pháp, Brazil... và cả Việt Nam. Trước sức ép quá lớn, Apple đã bổ sung tính năng tắt việc giảm hiệu năng iPhone khi chai pin trên iOS 11.3 beta.

Theo Bảo Lâm (VnExpress.net)

FBI không thể truy cập hơn 50% thiết bị do mã hóa dữ liệu

Người đứng đầu Cục Điều tra Liên bang Mỹ (FBI) Christopher Wray cho biết, cơ quan này có một vấn đề to lớn với việc mã hóa dữ liệu khiến họ không thể truy cập vào nhiều thiết bị.

FBI muốn được cấp công cụ cửa hậu để mở khóa các thiết bị được mã hóa dữ liệu

Theo Neowin, phát biểu tại hội nghị IACP 2017 ở Philadelphia, Wray nói rằng FBI đã không thể đột nhập vào hơn 50% thiết bị mà họ muốn truy cập trong khoảng thời gian 11 tháng, bao gồm khoảng 7.000 thiết bị di động. Tuy nhiên, ông đã không đề cập đến các thiết bị cụ thể và các phương pháp mã hóa gây ra rắc rối cho FBI cũng không được nhắc đến, có lẽ vì lý do an ninh.

Wray nói thêm rằng cần có sự cân bằng giữa việc cung cấp cho cơ quan của mình những công cụ cần thiết để duy trì sự an toàn công cộng và mã hóa dữ liệu cá nhân. Có vẻ như ông Wray đề cập đến cơ quan cần có các công cụ để chống khủng bố và tội phạm, nhưng ở Mỹ có thể có những nhóm khác nhau ủng hộ về tính riêng tư và tự do cá nhân. Chính vì vậy, việc mở rộng của chính phủ chắc chắn nhận được rất nhiều phản đối.

Trong bối cảnh đó, các thiết bị đang ngày càng trở nên an toàn và khó tiếp cận hơn, đặc biệt khi các nhà sản xuất thiết bị cũng như các doanh nghiệp khác bắt đầu áp dụng tính năng sinh trắc học, yêu cầu quét khuôn mặt, mống mắt hoặc dấu vân tay. Nhưng FBI chỉ ra rằng hãng muốn được cung cấp một công cụ cửa hậu để vượt qua những trở ngại về mã hóa.

Theo Kiến Văn (Thanh Niên Online)

Microsoft tung bản cập nhật lớn nhất cho OneDrive trên iOS

Microsoft vừa phát hành một trong những bản cập nhật lớn nhất cho ứng dụng OneDrive trên iOS, nhằm sửa chữa một số vấn đề mà người dùng cung cấp trong các phản hồi.

OneDrive cho iOS đã nhận được rất nhiều cải tiến trong bản cập nhật mới

Theo Neowin, điều đáng chú ý nhất trong số những thay đổi chính là giao diện người dùng mới được cập nhật với kiểu chữ thay đổi, làm cho nó ít lộn xộn hơn so với các phiên bản trước. Thay đổi này sẽ giúp việc quét nhiều tập tin hoặc thư mục trở nên dễ dàng hơn khi người dùng tìm kiếm một điều cụ thể nào đó.

Ngoài ra, Microsoft đã làm cho nó trở nên dễ dàng hơn trong việc xử lý một tập tin cụ thể khi tìm thấy nó, với việc giới thiệu một trình đơn ngữ cảnh mới. Thay vì phương pháp “Tap and hold” thông thường được cho là không rõ ràng, một nút “…” mới sẽ xuất hiện bên cạnh mỗi tập tin, cho phép truy cập vào các hành động thường xuyên được sử dụng. Các tập tin được chia sẻ dễ nhận ra hơn nhờ cập nhật thay đổi giao diện của các phần tử quan trọng - bao gồm cả hình thu nhỏ, tập tin và thư mục.

Đối với những người sử dụng ứng dụng muốn truy cập các tập tin khi đi du lịch, bản cập nhật cho phép họ mở bất kỳ tài liệu nào bằng bất kỳ ứng dụng nào, có thể là OneDrive hoặc Sharepoint. Microsoft cũng cập nhật ứng dụng để nó có thể hỗ trợ xem trước cho hơn 130 loại tập tin, bao gồm RAW, iWork, DICOM và đối tượng 3D.

Thay đổi nhỏ hơn bao gồm định hướng cảnh quan mới cho người dùng iPhone X cũng như bản vá lỗi tìm kiếm ảnh hưởng đến một số người dùng và hỗ trợ chú thích PDF.

Bản cập nhật hiện có sẵn để người dùng tải xuống trên tất cả các thiết bị iOS được hỗ trợ.

Theo Kiến Văn (Thanh Niên Online)