Vì sao Groupon "quịt" tiền thưởng của hacker phát hiện lỗ hổng?

Trong một vụ việc khá hy hữu, Groupon đã từ chối trả tiền thưởng cho một hacker mũ trắng sau khi anh này phát hiện tới 30 lỗ hổng bảo mật trên trang web của công ty này. Tuy vậy, bạn khó có thể lên tiếng chỉ trích cách hành xử này của Groupon.

Tổ chức các cuộc thi hack hoặc mở chương trình treo thưởng cho hacker tìm lỗ hổng phần mềm đã trở thành "chuyện thường ngày" đối với các công ty lớn như Google hay Microsoft. Bằng cách này, các công ty công nghệ có thể nhanh chóng vá các lỗ hổng nguy hiểm trước khi chúng đến tay tội phạm số. Thậm chí, cuộc thi Pwn2Own của Google còn có tổng trị giá giải thưởng lên tới hàng triệu USD.

Tuy vậy, gần đây, một nhà nghiên cứu bảo mật có tên gọi "BruteLogic" đã bị Groupon từ chối trả tiền thưởng dù đã giúp công ty này phát hiện tới 32 lỗ hổng nguy hiểm. Các lỗ hổng này đều là các đoạn mã nguồn có thể cho phép hacker tạo ra một phiên bản Groupon giả mạo và đánh cắp thông tin thẻ tín dụng của người dùng.

Vào ngày 17/4 vừa qua, BruteLogic liên hệ với Groupon để thông báo về lỗ hổng này. Ngay sau đó, Groupon đã gửi mail thông báo với BruteLogic rằng đội ngũ bảo mật của công ty sẽ tiến hành tìm hiểu và sớm liên hệ lại với anh ta. Sau đó, Groupon gửi thông báo tiếp theo cho biết đã cách ly các lỗ hổng nói trên và sẽ tiếp tục liên hệ với BruteLogic sau khi đã hoàn thiện được bản vá.

Khi hỏi về khoản tiền thưởng dành cho 32 lỗ hổng này, Group cho biết các khoản tiền thưởng dành cho các hacker thông báo lỗ hổng tới công ty được tính riêng cho từng trường hợp. Công ty này khẳng định sẽ nhanh chóng đưa con số cụ thể tới BruteLogic.

Tuy vậy, khi đã vá xong các lỗ hổng, Groupon gửi mail thông báo từ chối trả tiền thưởng cho BruteLogic. Lý do là bởi trước khi gửi mail thông báo cho Groupon, hacker này đã từng đăng tải phát hiện của mình lên trang web Xssposed.org. Theo chính sách Responsible Disclosure của Groupon, các khoản tiền thưởng sẽ chỉ được chi trả khi người phát hiện thông báo riêng cho Groupon và không công bố rộng rãi về lỗ hổng.

Thông báo của Groupon gửi tới BruteLogic làm rõ về điều này: "Rất tiếc chúng tôi không thể trả tiền thưởng cho anh lần này. Trong tương lai, chúng tôi yêu cầu anh phải tôn trọng chính sách của chúng tôi và không công bố các lỗ hổng trước khi gửi thông tin cho Groupon. Chúng tôi phát hiện ra rằng anh đã công bố thông tin về lỗ hổng lên xssposed.org".

Tuy vậy, về thực tế, BruteLogic mới chỉ hé lộ rất ít chi tiết về 1 trong số 32 lỗ hổng nói trên cho xssposed.org. Thông tin này chỉ được đăng tải trong một khoảng thời gian ngắn và cũng đã được xóa bỏ ngay sau đó. Hacker này sau đó đã bày tỏ sự giận dữ trên Twitter và khẳng định một công ty có tên Sucuri Security cũng đã sẵn sàng trả tiền thưởng ngay cả khi một số chi tiết về lỗ hổng trên sản phẩm của họ đã được công bố qua Twitter.

Dù sao, về phía Groupon, công ty này cũng vẫn có lý khi từ chối chi trả cho BruteLogic. Mục tiêu của các chương trình "tìm bug trúng thưởng" của các công ty công nghệ là để ngăn ngửa hacker biết đến các lỗ hổng này và tận dụng chúng. Việc công bố lỗ hổng lên các trang web sẽ khiến mục tiêu này trở nên vô nghĩa. Theo bạn, trong vụ việc này, Groupon đã đúng hay BruteLogic đã đúng? Hãy cùng chia sẻ với VnReview trong mục Bình luận nhé.

Lê Hoàng

Theo Betanews