Apple có một chương trình tìm lỗi phát thưởng nhằm khuyến khích những nhà nghiên cứu bảo mật phát hiện và báo cáo các lỗi nghiêm trọng trong những hệ điều hành của Apple và trả công hậu hĩnh cho họ.
Tuy nhiên, theo thông tin từ The Washington Post, nhiều nhà nghiên cứu không hài lòng với cách hoạt động của chương trình này, cũng như những khoản thanh toán của Apple so với các công ty công nghệ lớn khác.
Trong các cuộc phỏng vấn với hơn 24 nhà nghiên cứu bảo mật, The Washington Post đã thu thập được vô số lời phàn nàn. Điển hình nhất là việc Apple chậm chạp trong việc sửa lỗi và không phải lúc nào cũng trả hết các khoản tiền thưởng này cho những nhà nghiên cứu bảo mật.
Năm 2020, Apple đã chi trả cho các nhà nghiên cứu số tiền tổng 3,7 triệu USD, tức chỉ bằng một nửa so với 6,7 triệu USD của Google. Trong khi con số của Google cũng chỉ bằng một nửa so với mức 13,6 triệu USD mà Microsoft chi ra cho các nhà nghiên cứu bảo mật. Dẫu những gã khổng lồ công nghệ như Facebook, Microsoft và Google đều đề cao vai trò của các nhà nghiên cứu bảo mật. Mong muốn tìm ra những lỗi quan trọng, tổ chức các hội nghị nghiên cứu bảo mật và cung cấp nguồn tài nguyên nhằm khuyến khích nhiều người tham gia.
Thế nhưng, Apple lại không làm như vậy mà tỏ ra rất hờ hững.
Các nhà nghiên cứu bảo mật cho biết, Apple thường rất hạn chế phản hồi về vấn đề lỗi nào sẽ nhận được tiền thưởng. Các nhân viên cũ cũng như hiện tại của Apple cho biết, rằng có “một đống lỗi lớn” còn tồn đọng và vẫn chưa được khắc phục.
Việc Apple miễn cưỡng cởi mở với giới nghiên cứu bảo mật đã khiến một số nhà nghiên cứu không hứng thú với việc cung cấp thông tin lỗi cho hãng. Thay vào đó, các nhà nghiên cứu lại chọn bán chúng cho những khách hàng khác, chẳng hạn như cơ quan chính phủ hoặc những công ty cung cấp dịch vụ hack.
Trao đổi với The Washington Post, Ivan Krstić, Giám đốc Kiến trúc và Kỹ thuật Bảo mật của Apple, cho biết, Apple cảm thấy chương trình này đã thành công và Apple đã tăng gấp đôi số tiến mà họ đã trả cho chương trình tìm lỗi trả thưởng trong năm 2020 so với năm 2019. Tuy nhiên, Apple vẫn đang nghiên cứu để mở rộng quy mô chương trình và sẽ cung cấp các phần thưởng mới trong tương lai.
“Chúng tôi cũng đang có kế hoạch giới thiệu những phần thưởng mới cho các nhà nghiên cứu nhằm tiếp tục mở rộng người tham gia chương trình. Và chúng tôi đang tiếp tục điều tra các hướng đi để đưa ra những công cụ nghiên cứu mới và thậm chí tốt hơn, đáp ứng mô hình bảo mật nền tảng nghiêm ngặt hàng đầu của chúng tôi.”
Katie Moussouris, người sáng lập Luta Security, xác nhận với The Washington Post rằng tiếng xấu của Apple đối với cộng đồng bảo mật có thể dẫn đến “các sản phẩm kém an toàn” và “tốn kém hơn” trong tương lai.
Theo mô tả từ chương trình tìm lỗi trả thưởng, Apple hứa hẹn sẽ chi trả số tiền trong khoảng 100.000 USD – 1.000.000 USD cho những nhà nghiên cứu bảo mật, tùy thuộc vào độ nghiêm trọng của từng lỗi. Đồng thời, Apple cũng cung cấp cho một số nhà nghiên cứu những chiêc iPhone đặc biệt, dành riêng cho các nhà nghiên cứu bảo mật. Những chiếc iPhone này ít bị giới hạn hơn so với các thiết bị bán ra trên thị trường, với mục đích giúp việc khai quật các điểm yếu và lỗ hổng bảo mật dễ dàng hơn.
Sam Curry, một nhà nghiên cứu bảo mật từng làm việc với Apple trong năm 2020, xác nhận, anh đã đưa ra phản hồi cho Apple và anh cảm thấy như công ty nhận thức cách nhìn nhận của họ và “đang cố gắng tiến lên”. Theo The Washington Post, năm nay, Apple đã tuyển dụng một người lãnh đạo mới cho chương trình tìm lỗi trả thường, thế nên, nhiều khả năng cộng đồng bảo mật sẽ sớm thấy một số sự cải thiện từ Apple.
Tuy nhiên, theo thông tin từ The Washington Post, nhiều nhà nghiên cứu không hài lòng với cách hoạt động của chương trình này, cũng như những khoản thanh toán của Apple so với các công ty công nghệ lớn khác.
Trong các cuộc phỏng vấn với hơn 24 nhà nghiên cứu bảo mật, The Washington Post đã thu thập được vô số lời phàn nàn. Điển hình nhất là việc Apple chậm chạp trong việc sửa lỗi và không phải lúc nào cũng trả hết các khoản tiền thưởng này cho những nhà nghiên cứu bảo mật.
Năm 2020, Apple đã chi trả cho các nhà nghiên cứu số tiền tổng 3,7 triệu USD, tức chỉ bằng một nửa so với 6,7 triệu USD của Google. Trong khi con số của Google cũng chỉ bằng một nửa so với mức 13,6 triệu USD mà Microsoft chi ra cho các nhà nghiên cứu bảo mật. Dẫu những gã khổng lồ công nghệ như Facebook, Microsoft và Google đều đề cao vai trò của các nhà nghiên cứu bảo mật. Mong muốn tìm ra những lỗi quan trọng, tổ chức các hội nghị nghiên cứu bảo mật và cung cấp nguồn tài nguyên nhằm khuyến khích nhiều người tham gia.
Thế nhưng, Apple lại không làm như vậy mà tỏ ra rất hờ hững.
Các nhà nghiên cứu bảo mật cho biết, Apple thường rất hạn chế phản hồi về vấn đề lỗi nào sẽ nhận được tiền thưởng. Các nhân viên cũ cũng như hiện tại của Apple cho biết, rằng có “một đống lỗi lớn” còn tồn đọng và vẫn chưa được khắc phục.
Việc Apple miễn cưỡng cởi mở với giới nghiên cứu bảo mật đã khiến một số nhà nghiên cứu không hứng thú với việc cung cấp thông tin lỗi cho hãng. Thay vào đó, các nhà nghiên cứu lại chọn bán chúng cho những khách hàng khác, chẳng hạn như cơ quan chính phủ hoặc những công ty cung cấp dịch vụ hack.
Trao đổi với The Washington Post, Ivan Krstić, Giám đốc Kiến trúc và Kỹ thuật Bảo mật của Apple, cho biết, Apple cảm thấy chương trình này đã thành công và Apple đã tăng gấp đôi số tiến mà họ đã trả cho chương trình tìm lỗi trả thưởng trong năm 2020 so với năm 2019. Tuy nhiên, Apple vẫn đang nghiên cứu để mở rộng quy mô chương trình và sẽ cung cấp các phần thưởng mới trong tương lai.
“Chúng tôi cũng đang có kế hoạch giới thiệu những phần thưởng mới cho các nhà nghiên cứu nhằm tiếp tục mở rộng người tham gia chương trình. Và chúng tôi đang tiếp tục điều tra các hướng đi để đưa ra những công cụ nghiên cứu mới và thậm chí tốt hơn, đáp ứng mô hình bảo mật nền tảng nghiêm ngặt hàng đầu của chúng tôi.”
Katie Moussouris, người sáng lập Luta Security, xác nhận với The Washington Post rằng tiếng xấu của Apple đối với cộng đồng bảo mật có thể dẫn đến “các sản phẩm kém an toàn” và “tốn kém hơn” trong tương lai.
Theo mô tả từ chương trình tìm lỗi trả thưởng, Apple hứa hẹn sẽ chi trả số tiền trong khoảng 100.000 USD – 1.000.000 USD cho những nhà nghiên cứu bảo mật, tùy thuộc vào độ nghiêm trọng của từng lỗi. Đồng thời, Apple cũng cung cấp cho một số nhà nghiên cứu những chiêc iPhone đặc biệt, dành riêng cho các nhà nghiên cứu bảo mật. Những chiếc iPhone này ít bị giới hạn hơn so với các thiết bị bán ra trên thị trường, với mục đích giúp việc khai quật các điểm yếu và lỗ hổng bảo mật dễ dàng hơn.
Sam Curry, một nhà nghiên cứu bảo mật từng làm việc với Apple trong năm 2020, xác nhận, anh đã đưa ra phản hồi cho Apple và anh cảm thấy như công ty nhận thức cách nhìn nhận của họ và “đang cố gắng tiến lên”. Theo The Washington Post, năm nay, Apple đã tuyển dụng một người lãnh đạo mới cho chương trình tìm lỗi trả thường, thế nên, nhiều khả năng cộng đồng bảo mật sẽ sớm thấy một số sự cải thiện từ Apple.
Theo VN review
