Tin tặc kiếm 500.000 USD/năm nhờ hack thử công ty lớn

Thu Thảo
Thu Thảo
13/12/2018 11:02 GMT+7

Một số tin tặc giỏi, hành nghề tự do có thể kiếm được hơn 500.000 USD mỗi năm nhờ tìm kiếm và báo cáo lỗ hổng an ninh cho doanh nghiệp lớn như Tesla, hoặc tổ chức như Bộ Quốc phòng Mỹ.

Theo CNBC, đây là nội dung dữ liệu do nền tảng hack một cách có đạo đức Bugcrowd vừa đưa ra. Công ty thành lập năm 2012 là một trong số ít các hãng được gọi là doanh nghiệp “sửa lỗi”, cung cấp nền tảng cho tin tặc truy ra lỗ hổng bảo mật tại nhiều doanh nghiệp muốn thử hệ thống an ninh. 
Tin tặc làm việc theo hợp đồng được xác định rõ ràng cho một doanh nghiệp cụ thể. Họ cố tìm lỗ hổng trong cơ sở hạ tầng doanh nghiệp. Thù lao họ nhận được phụ thuộc vào mức độ nghiêm trọng của vấn đề. Các hãng như Bugcrowd ngày càng tìm nhiều lựa chọn thay thế cho việc thử nghiệm an ninh mạng vì hàng triệu việc làm trong mảng này đang còn trống. Theo CEO Bugcrowd Casey Ellis, một số ước tính cho hay đến 3,5 triệu việc làm trên mạng có thể trống trong năm 2021.
Năm ngoái, Bugcrowd xuất phiếu thanh toán lớn nhất cho một lỗ hổng: 113.000 USD được thưởng cho lỗi được tìm thấy tại một hãng công nghệ phần cứng lớn. Năm nay, số tiền hãng này trả nhân viên tăng 37% so với năm ngoái.
Một khảo sát cho thấy nửa số tin tặc tốt, hay chuyên gia bảo mật được thuê để xâm nhập mạng lưới và hệ thống máy tính với tư cách doanh nghiệp họ công tác, có công việc toàn thời gian. Với khoảng 50 tin tặc hàng đầu, thù lao "đi hack doanh nghiệp" trung bình hằng năm là khoảng 145.000 USD.
Theo ông Ellis, những tin tặc kiếm nhiều tiền nhất sở hữu nhiều kỹ năng thiết yếu nhất định. “Họ tìm thấy một lớp cụ thể dễ bị tổn thương, và họ hết lần này đến lần khác tìm kiếm lỗ hổng như thế tại nhiều doanh nghiệp. Họ sẽ đi khắp không gian mạng, cố gắng tìm ra càng nhiều cơ hội khai thác các lỗ hổng càng tốt”, ông Ellis cho hay.
CEO Bugcrowd cũng nói thêm: “Họ cũng có kỹ năng thăm dò tốt, và có thể hoạt động khi hiểu rằng điều gì có thể gây tổn thất nhiều nhất cho một tổ chức. Nhận thức tốt về cách doanh nghiệp hoạt động, hoặc cách cơ sở hạ tầng được xây dựng thực sự hữu ích”.
94% hacker của Bugcrowd từ 18 đến 44 tuổi, song vẫn có một số hacker còn đi học trung học. Nghề này có chi phí đầu vào thấp và dựa trên kinh nghiệm. Khoảng 1/4 tin tặc trên nền tảng Bugcrowd không có bằng đại học.
Để tự vệ trước các cuộc tấn công mạng, doanh nghiệp dùng một loạt biện pháp, trong đó có việc cho phép những người có kỹ năng hack thử nghiệm khả năng phòng vệ của doanh nghiệp. Một số công ty có nhóm kiểm tra thâm nhập nội bộ, thường đưa họ vào “đội đỏ” chuyên đóng vai trò tập thể độc hại nỗ lực đánh sập máy chủ doanh nghiệp hoặc đánh cắp thông tin. Các hãng khác thì dùng doanh nghiệp tư vấn cung cấp dịch vụ này, hoặc doanh nghiệp thưởng tiền cho những người tìm ra lỗi như Bugcrowd, HackerOne, Synack và Cobalt.  
Các chương trình tìm lỗ hổng an ninh và nhận thưởng cung cấp cách tiếp cận chính thức hơn, với quy tắc mà nhiều tin tặc phải tuân theo, chẳng hạn như không nhảy từ máy chủ đang được kiểm tra sang máy chủ khác có dữ liệu nhạy cảm hơn, ông Ellis cho biết.
IJet và Tesla trả cho tin tặc từ 1.000-15.000 USD nếu họ tìm ra lỗ hổng, tùy thuộc vào độ nghiêm trọng của nó. Mastercard trả đến 3.000 USD. Hồi tháng 10, Bộ Quốc phòng Mỹ trao hợp đồng "Hack the Pentagon" hay “Tấn công mạng Lầu năm góc” cho Bugcrowd và HackerOne vì chương trình mã nguồn đám đông.
Top

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.