Trao thưởng gần 300 triệu đồng cho các hacker “đội nhà”

Ngày 11/03 vừa qua, Ban Tổ chức chương tình tìm kiếm lỗ hổng trên các phần mềm nội bộ Tập đoàn trong Quý IV/2020 đã chính thức trao thưởng 290 triệu đồng cho 14 người chơi phát hiện thành công các lỗ hổng. Trong số này hacker “đội nhà” nhận thưởng cao nhất lên tới 51 triệu đồng.

Chương trình tìm kiếm lỗ hổng trên các phần mềm nội bộ Tập đoàn Quý IV/2020 chính thức diễn ra từ 1/10 đến 20/12/2020 do Ban CNTT Tập đoàn kết hợp cùng Công ty An ninh mạng Viettel chủ trì tổ chức. Theo đó, tất cả các CBCNV (trừ đội ngũ tham gia phát triển các giải pháp là đối tượng rà soát) sẽ được tham gia đánh giá, tìm kiếm lỗ hổng dưới 2 hình thức Bug Bounty (săn lỗi và nhận thưởng) và Pwn-to-own (tìm lỗi và khai thác theo mục tiêu).

Bug Bounty (săn lỗi và nhận thưởng) được áp dụng cho những giải pháp nghiệp vụ nội bộ quen thuộc như: Voffice, Thông tin nhân sự, Viettel Family, Elearning,… Chỉ trong vòng 1 quý tổ chức chương trình, Ban tổ chức đã tiếp nhận 55 báo cáo lỗ hổng, trong đó có 34 lỗ hổng hợp lệ. Hai hệ thống bị phát hiện có nhiều lỗ hổng bảo mật nhất là Web mail – 7 lỗ hổng được tìm thấy và trang Thông tin nhân sự – 8 lỗ hổng được tìm thấy, trong đó có 3 lỗ hổng thuộc nhóm có mức độ nguy hiểm. Các lỗ hổng này nếu không bị phát hiện có thể dẫn đến mất quyền kiểm soát, gây ra nhiều thiệt hại nghiệm trọng cho toàn Tập đoàn. Hiện tại, các lỗ hổng đã được chuyển cho các đơn vị và SOC để theo dõi, khắc phục.

hacker

Về hình thức Pwn-to-own (tìm lỗi và khai thác theo mục tiêu) cũng được triển khai để tìm kiếm các lỗi chưa được phát hiện (zero-day) trên các hệ thống có tính năng phòng vệ. Một cá nhân được xác định Pwn-to-own thành công khi vượt qua hàng rào bảo vệ các hệ thống mà không bị phát hiện trong 15 phút. Có 3 dự án được áp dụng hình thức này là Dự án content rule SOC, VCS-aJiant và Clourity. Trong đó, Dự án VCS-aJiant có số lần bị bypass nhiều nhất, lên đến 8 lần.

Kết thúc chương trình trong Quý IV/2020, số lượng người đăng ký tham gia chương trình lên tới 53 người, chủ yếu đến từ các đơn vị chuyên về CNTT như Công ty An ninh mạng, Ban CNTT Tập đoàn, Tổng Công ty Giải pháp doanh nghiệp, Tổng Công Ty Công Nghiệp Công Nghệ Cao, Tổng công ty Viễn thông Viettel, Tổng công ty Mạng lưới. Trong đó, 4 người chơi có mức tiền thưởng cao nhất đều đến từ Công ty An ninh mạng là Dương Tuấn Thông (51 triệu đồng), Ngô Tùng Dương (45 triệu đồng), Nguyễn Hữu Chung và Lê Văn Nguyễn cùng nhận được số tiền thưởng là 32 triệu đồng.

2 người chơi tìm được nhiều lỗ hổng nhất là Phạm Đình Sơn đến từ Tổng công ty Mạng lưới Viettel với 6 lỗ hổng và Dương Tuấn Thông cũng với 6 lỗ hổng được tìm thấy. Trung bình mỗi cá nhân nhận thưởng trong đợt tìm lỗ hổng này lên đến hơn 20 triệu đồng.

dsc02329
Chương trình tìm kiếm lỗ hổng trên các phần mềm nội bộ của Tập đoàn không chỉ giúp các ứng dụng sớm phát hiện ra lỗi để khắc phục, ngày càng an toàn hơn mà còn là sân chơi cho các cá nhân yêu thích An toàn thông tin trong Tập đoàn có cơ hội giao lưu, học hỏi lẫn nhau. Dự kiến chương trình tìm kiếm lỗ hổng sẽ tiếp tục được tổ chức đều đặn trong năm 2021, gần nhất dự kiến sẽ được tổ chức trong Quý II/2021.