VnReview
Hà Nội

Nghề săn lỗ hổng

Jobert Abma, 25 tuổi, đồng sáng lập start-up HackerOne, đã đột nhập vào các máy tính từ khi anh mới 13 tuổi.

HackerOne

Jobert Abma, đồng sáng lập HackerOne

Theo BI, Abma đã "dấn thân" vào thế giới bảo mật cùng với đồng sáng lập cũng là người bạn thân Michiel Prins từ khá lâu.

Lớn lên ở Hà Lan, Abma đã tặng cho Prins một món quà tặng tốt nghiệp kỳ lạ: mật khẩu và tài khoản của một đài truyền hình địa phương có phát sóng những bản tin thông thường về trường học.

Cặp bạn này sau đó đã giành quyền kiểm soát đài truyền hình và tự phát sóng bản tin của họ trực tiếp trên TV.

"Đài truyền hình không thấy có gì là hài hước cả", Abma nhớ lại.

Các giáo viên đã trách Prins về vụ tấn công và "cậu ấy không bao giờ nói với họ tôi mới chính là thủ phạm", Abma nói. Prins phải chịu hình phạt làm 25 giờ lao động công ích lau cửa sổ.

Hai người này thành thạo trong việc đột nhập máy tính người khác đến nỗi nhà cung cấp Internet của Abma chú ý. Họ đã gửi thư đến cha mẹ của cậu, trong đó viết: "Chúng tôi nghĩ máy tính của ông bà có virus bởi vì tất cả lưu lượng Internet bất thường đều đến từ máy tính của ông bà". Abma kể khi nhận được thư này, bố mẹ cậu biết ngay họ chẳng có con virus nào hết. Họ chỉ có một đứa con trai!

Bước ngoặt xảy ra khi cả hai vào đại học, cùng học trường Đại học Khoa học ứng dụng Hanze ở Hà Lan.

Trong năm học đầu tiên, cả hai tìm phần mềm nhà trường sử dụng để quản lý bài tập và điểm. Họ phát hiện một lỗ hổng cho phép truy cập vào điểm của tất cả sinh viên.

Hai người đã báo cáo lỗ hổng cho nhà cung cấp phần mềm nhưng không thấy có phản hồi. (Như là một quy tắc, các hãng phần mềm không tự động phản hồi tất cả những người lạ liên hệ với họ tuyên bố phát hiện ra lỗ hổng).

Do vậy, họ đã báo lỗ hổng cho nhà trường. Trường đã liên hệ với công ty phần mềm và họ đã vá lỗ hổng. Còn trường quá ấn tượng nên đã thuê hai sinh viên thực hiện các bài thử nghiệm lỗ hổng lớn hơn trên phần mềm đó.

"Chúng tôi đã kiếm được nhiều tiền từ hợp đồng đó đến nỗi có thể chi trả được học phí. Chúng tôi đi học đại học đồng thời làm việc luôn cho nhà trường", Abma nói.

Trường đại học Hanze yêu thích công việc của hai sinh viên này và công khai các nghiên cứu của họ. Còn hãng phần mềm thì ít hài lòng hơn.

Kiếm 10.000 USD/ tuần khi còn đi học

Bởi vì như vậy, và lo ngại về những rắc rối họ có thể vướng vào, cha mẹ của Abma buộc họ phải mở công ty.

Nhưng ban đầu có được khách hàng không hề dễ một chút nào. Lý do đơn giản là không ai sẽ tin cậy giao công việc bảo mật cho hai sinh viên non choẹt.

Do đó, họ đã nghĩ ra một thách thức: nếu họ không thể đột nhập vào một công ty trong vòng 60 phút thì họ sẽ mua bánh đãi cả công ty. Còn nếu như đột nhập được, thì họ muốn có một cuộc gặp và thảo luận về điều gì chưa ổn trong hệ thống và đưa ra cách khắc phục.

May mắn là mọi người đều thích thách thức đãi bánh này. Hai sinh viên đã dành nhiều đêm và cuối tuần cho việc đột nhập hệ thống và đó là lời giới thiệu bản thân tốt nhất của họ tới rất nhiều hãng lớn ở Hà Lan.

Nhanh chóng sau đó, họ đã kiếm được hợp đồng từ chính phủ, các ngân hàng và hãng bảo hiểm lớn.

"Đó là thời điểm rất thú vị. Chúng tôi mới chỉ 19 và 20 tuổi. Và chúng tôi kiếm được gần 10.000 USD mỗi tuần. Với hai đứa sinh viên mới toe như chúng tôi, đó là một số tiền khổng lồ", Abma nói.

Cảm hứng cho HackerOne

Với nền tảng này, hai người bạn đã chuyển đến San Francisco và thành lập công ty khởi nghiệp HackerOne cùng với Merijn Terheggen và Alex Rice, cựu giám đốc sản phẩm bảo mật của Facebook.

HackerOne là một website, nơi mà các công ty có thể đề nghị hacker tấn công họ và sau đó trả phí dựa trên các lỗ hổng phát hiện được. Lỗ hổng càng nghiêm trọng, phí càng cao. HackerOne giữ lại 20% phí, phần 80% chi trả cho hacker.

Việc này được gọi là các chương trình "săn lỗ hổng".

Ý tưởng là kêu gọi các hacker tốt vào trong biên chế của công ty để họ có thể tìm ra lỗ hổng trước khi những kẻ xấu tìm ra.

Rất nhiều công ty công nghệ lớn triển khai các chương trình săn lỗ hổng như Facebook, Google, Microsoft, Mozilla, Uber, Yahoo.

Song HackerOne cho phép bất kỳ công ty nào truy cập một kho tàng các hacker an toàn, đảm bảo chất lượng. Bên cạnh đó, công ty cũng cung cấp phần mềm cho phép khách hàng quản lý bất kỳ lỗ hổng phần mềm nào mà hacker tìm được để họ có thể khắc phục. Khách hàng của HackerOne bao gồm nhiều đối tượng, từ hãng công nghệ lớn cho đến các công ty khởi nghiệp, như Bộ Quốc phòng, General Motors, Slack, Twitter, Yahoo, Uber.

Trả 7 triệu USD săn lỗ hổng

HackerOne đã giúp các công ty phát hiện 21.000 lỗ hổng kể từ khi thành lập năm 2012 và đã chi trả hơn 7 triệu USD.

Công ty lớn như thổi do các doanh nghiệp nhận ra được giá trị của việc tiếp cận được đội quân hacker thân thiện của HackerOne.

Startup này có 500 khách hàng và khoảng 50 nhân viên, đã gây vốn được 34 triệu USD.

Điều đó có nghĩa lượng tiền các hacker kiếm được qua HackerOne tăng tốc. Chẳng hạn, các hacker chỉ mất có 12 tuần để kiếm được 1 triệu USD tiền săn lỗ hổng. HackerOne đã trả 6 triệu USD phí săn lỗ hổng hồi tháng hai vừa qua và đến tháng Tư, con số này tăng lên 7 triệu USD.

HackerOne không phải là startup duy nhất săn lỗ hổng. Họ có nhiều đối thủ khác như Bugcrowd, CrowdSecurity, Synack...

Tuy nhiên, HackerOne giành được sự chú ý khi có Marten Mickos đầu quân làm CEO từ năm ngoái. Mickos khá nổi tiếng trong thế giới phần mềm, từng là cựu CEO của Eucalyptus và MySQL (ông đã bán cả hai công ty này để lấy một khoản tiền lớn).

Lương làm thêm: 80.000 USD;

Mặc dù công việc hằng ngày của Abma là đồng sáng lập HackerOne nhưng anh vẫn là một hacker.

Abma hằng đêm và cuối tuần tham gia vào các chương trình săn lỗ hổng. Hầu hết các công ty chi trả từ 500-1.000 USD cho mỗi lỗ hổng được phát hiện.

Nhưng phí có thể cao hơn. Chẳng hạn, Google có thể trả đến 20.000 USD cho những lỗ hổng tồi tệ nhất. Những hãng khác có thể trả nhiều hơn.

Abma cho biết đã kiếm thêm được 80.000 USD trong 8 tháng qua nhờ săn lỗ hổng.

Mục tiêu của anh là kiếm thêm được 100.000 USD trong năm nay và con số này đến nay là rất khả thi.

Trung bình anh được trả 4.000 USD/ lỗ hổng. Lỗ hổng anh được trả phí cao nhất là 30.000 USD. Đây là những lỗ hổng cực kỳ nghiêm trọng.

Có 2.600 hacker trong hệ thống của HackerOne và Abma nói anh không phải là 1 trong top 100 hacker. Anh tự xếp mình trong top 3%.

Điều đó có nghĩa là có nhiều hacker còn kiếm được nhiều hơn Abma. Anh cho biết có một số hacker kiếm được 200.000 USD mỗi năm và có khoảng 20 người kiếm được 100.000 USD/năm. "Tôi biết có một số người đang đặt mục tiêu kiếm 500.000 USD năm nay", Abma nói. Hầu hết các hacker này không săn lỗ hổng cả ngày mà đây chỉ là việc làm thêm của họ. Phần lớn hacker là kỹ sư phần mềm hoặc làm trong công ty an ninh mạng. Săn lỗ hổng là một nguồn thu thứ hai.

Với Abma, săn lỗ hổng không chỉ hỗ trợ các doanh nghiệp mà còn giúp người khác kiếm thêm tiền. "Một số người trả học phí, một số trả tiền thuê nhà. Chúng tôi là những người bình thường và hacker là rất quan trọng đối với tương lai của Internet", anh nói.

Thanh Nga

Chủ đề khác