Lời mở đầu
Bug Bounty là một chương trình bảo mật được cung cấp bởi các tổ chức, doanh nghiệp hoặc bên thứ 3 để khuyến khích cộng đồng chuyên gia tham gia tìm kiếm và báo cáo lỗ hổng bảo mật trong phần mềm hoặc hệ thống của họ.
Khái niệm về Bug Bounty đã trở nên phổ biến trong những năm qua, và bằng cách mời các chuyên gia bảo mật kiểm tra hệ thống, các công ty có thể tăng cường khả năng bảo mật của mình, xây dựng lòng tin với khách hàng và giảm thiểu rủi ro của các vụ vi phạm dữ liệu đắt đỏ.
Bài viết này cung cấp thông tin tổng quan về chương trình Bug Bounty của công ty Cybozu.
A. GIỚI THIỆU
1. Bug Bounty là gì?
Bug Bounty (tạm dịch Săn lỗi nhận tiền thưởng) là một chương trình bảo mật được cung cấp bởi các công ty hoặc tổ chức cho các cá nhân có thể xác định và báo cáo các lỗ hổng bảo mật (vulnerabilities) hoặc điểm yếu về bảo mật (vulnerable) trong phần mềm hoặc hệ thống của họ. Trong đó, các khoản tiền thưởng (bounty) sẽ được trao cho những người tìm ra lỗi.
Những chương trình này khuyến khích các chuyên gia là những người tham gia tìm lỗi trong chương trình Bug Bounty, họ là những chuyên gia an ninh mạng, tư vấn bảo mật cho các tổ chức, cũng có thể là một pen-tester, một hacker mũ trắng hay một sinh viên An toàn thông tin tài năng tham gia tìm và báo cáo các lỗi trước khi chúng bị khai thác bởi các kẻ xấu.
2. Giá trị mang lại của Bug Bounty là gì?
Việc có một chương trình Bug Bounty đang trở nên ngày càng quan trọng đối với các công ty và tổ chức muốn bảo vệ phần mềm và hệ thống của mình khỏi các cuộc tấn công mạng. Bug Bounty đem lại những tác dụng như:
- Xác định các lỗ hổng bảo mật trước khi tin tặc làm được: Bằng cách mời các pen-tester, hacker mũ trắng, những nhà nghiên cứu bảo mật tự do,… kiểm tra hệ thống của mình, các công ty có thể xác định và khắc phục các lỗ hổng bảo mật trước khi tin tặc có cơ hội khai thác chúng.
- Hiệu quả về chi phí: Bug Bounty có hiệu quả về chi phí hơn là thuê một đội ngũ bảo mật toàn thời gian hoặc chỉ phụ thuộc vào các công cụ kiểm tra tự động. Các công ty chỉ trả tiền thưởng cho các lỗ hổng được phát hiện, thay vì trả lương toàn thời gian cho một đội ngũ bảo mật.
- Thu hút các chuyên gia tài năng: Bằng cách cung cấp phần thưởng và công nhận, các công ty có thể thu hút các chuyên gia tài năng tham gia chương trình này.
- Xây dựng lòng tin với khách hàng: Bằng cách thể hiện cam kết với các thực tiễn bảo mật, các công ty có thể xây dựng lòng tin với khách hàng của mình và tạo sự khác biệt so với các đối thủ cạnh tranh.
- Cải thiện mức độ bảo mật: Bug Bounty có thể giúp các công ty cải thiện mức độ bảo mật tổng thể của mình bằng cách xác định và khắc phục các lỗ hổng mà có thể đã bị bỏ sót nếu không có chương trình này.
B. Chương trình Cybozu Bug Bounty
Chương trình Cybozu Bug Bounty là một chương trình bảo mật được cung cấp bởi Cybozu, Inc., một công ty phần mềm Nhật Bản, đứng đầu thị trường groupware Nhật Bản và đang tạo ra các sản phẩm phần mềm hỗ trợ teamwork. Chương trình nhằm mục đích nâng cao bảo mật cho các sản phẩm và dịch vụ của Cybozu bằng cách kết nối với cộng đồng chuyên gia để tìm và báo cáo các lỗ hổng bảo mật.
Vui lòng truy cập vào link Hompage [1] dưới đây để biết thêm thông tin chi tiết về chương trình:
Cybozu Bug Bounty Program | Cybozu
Chương trình Cybozu Bug Bounty cung cấp các sự kiện khác nhau, kế hoạch tổ chức cho từng sự kiện có thể thay đổi dựa vào quyết định của công ty. Mỗi sự kiện được thiết kế để khuyến khích các chuyên gia bảo mật tham gia giúp xác định và báo cáo các lỗ hổng tiềm ẩn trong các sản phẩm phần mềm:
- Cybozu Bug Bounty Public: Đây là sự kiện chính do Cybozu tổ chức và mở cửa cho công chúng để bất kỳ ai cũng có thể tham gia. Các chuyên gia báo cáo các vấn đề bảo mật hợp lệ trong các sản phẩm đủ điều kiện có thể nhận được phần thưởng tiền mặt từ công ty tùy thuộc vào mức độ nghiêm trọng và ảnh hưởng của lỗ hổng.
- Private Program: Đây là sự kiện bí mật không phổ biến rộng rãi. Cybozu mời các chuyên gia bảo mật đã được chọn lọc tham gia vào chương trình này, với phần thưởng cao hơn chương trình công khai. Chương trình cho phép Cybozu hợp tác chặt chẽ hơn với một nhóm các chuyên gia được chọn để xác định các lỗ hổng tiềm ẩn trên một domain được chỉ định trong khoảng thời gian nhất định.
- Chương trình Bug Camp (Cybozu's bug hunter training camp): Đây là sự kiện offline, được tổ chức và diễn ra trong khoảng thời gian ngắn, tại đây những người tham gia đã được chọn lọc, tập hợp để cùng nhau học tập và chia sẻ với các chuyên gia bảo mật có kinh nghiệm, từ đó giúp xác định và báo cáo các lỗ hổng tiềm ẩn.
1. Điều kiện và yêu cầu cho người tham gia:
Bất cứ ai cũng có thể tham gia miễn là bạn đáp ứng các yêu cầu sau:
2. Thời gian diễn ra chương trình
Thời gian diễn ra chương trình Cybozu Bug Bounty định kỳ ở các năm trước thường bắt đầu vào tháng 4 và kết thúc vào tháng 12.
Nhưng bắt đầu từ năm nay (năm 2023), chương trình sẽ không có thời gian kết thúc mà tiếp diễn suốt qua các năm, điều này đồng nghĩa với việc chương trình sẽ tiếp nhận các báo cáo và thông tin về lỗ hổng bảo mật bất cứ lúc nào.
Theo dõi Hompage [1], Twitter [2] để nắm được thời gian chi tiết cũng như các thông báo quan trọng từ chương trình.
3. Các loại lỗ hổng được công nhận
Công ty xác định chi phí trả thưởng cho từng loại lỗ hổng, tùy theo mức độ nghiêm trọng dựa trên các loại lỗ hổng dưới dây:
Chương trình Cybozu Bug Bounty tiếp nhận các báo cáo về lỗi bảo mật từ bất kỳ ai trên toàn thế giới và trả tiền thưởng cho những người tìm ra lỗi (những lỗi hợp lệ theo tiêu chuẩn của công ty theo Rulebook [3] ).
4. Phần thưởng và sự công nhận
Cybozu Bug Bounty Program tạo cơ hội cho tất cả các nhà nghiên cứu, người đam mê bảo mật và chuyên gia có thể tìm và báo cáo các lỗ hổng bảo mật trong các sản phẩm và dịch vụ của Cybozu. Chương trình bao gồm một loạt các sản phẩm và dịch vụ, bao gồm kintone, Cybozu Office, Cybozu Garoon, Cybozu Remote Service và các sản phẩm khác của Cybozu.
Môi trường thử nghiệm cho các sản phẩm của Cybozu cũng được cung cấp cho những chuyên gia muốn tham gia hợp tác để cải thiện chất lượng dịch vụ của Cybozu.
Cybozu Bug Bounty Program | Cybozu
Chương trình chi trả phần thưởng cho các lỗ hổng bảo mật dao động từ 10,000 Yên (tương đương 74.67 USD) đến 2,000,000 Yên (tương đương 14934.84 USD) (theo tỉ giá khi thực hiện bài viết: 1 Yên = 0.00747 USD), mức chi trả phụ thuộc vào mức độ nghiêm trọng của lỗ hổng và được quyết định bởi Cybozu. Công ty cũng mang lại sự công nhận cho các chuyên gia đã tìm ra các lỗ hổng quan trọng và giúp cải thiện bảo mật cho sản phẩm của công ty thông qua chế độ Point Ranking, Reward Ranking,…
Vui lòng truy cập vào link Twitter [2] dưới đây để biết thêm thông tin chi tiết về Point Ranking, Reward Ranking:
5. Cách thức đăng ký tham gia
Để tham gia Cybozu Bug Bounty Program, các pen-tester, hacker mũ trắng, những nhà nghiên cứu bảo mật tự do quan tâm đến chương trình phải đăng ký và đồng ý với các điều khoản và điều kiện của chương trình.
Trước tiên, các chuyên gia cần đăng ký chương trình nhận môi trường thử nghiệm để tham gia Cybozu Bug Bounty.
Cybozu Bug Bounty Program | Cybozu
Sau khi đăng ký, các chuyên gia có thể bắt đầu tìm kiếm các lỗ hổng bảo mật trong các sản phẩm và dịch vụ của Cybozu trên môi trường thử nghiệm và gửi kết quả tìm thấy thông qua cơ chế báo cáo của chương trình.
Nếu phát hiện lỗ hổng bảo mật trên môi trường thử nghiệm, vui lòng điền vào form đăng ký tạo tài khoản báo cáo tại: 報告用サイトアカウントお申し込みフォーム(Reporting Site Account Request Form)
Sử dụng tài khoản báo cáo được cấp để đăng nhập vào trang tiếp nhận báo cáo [4] dưới đây và thực hiện báo cáo nội dung của lỗ hổng bảo mật.
Lưu ý: mọi báo cáo gửi về từ các chuyên gia phải thông qua trang tiếp nhận báo cáo [4] mới được tính là hợp lệ (nếu báo cáo được gửi qua email thì sẽ không được tính là đang tham gia chương trình Cybozu Bug Bounty)
Vui lòng đăng ký tài khoản và làm theo hướng dẫn [5] trong suốt quá trình tham gia chương trình.
C. Tổng kết
Thông qua bài viết, tôi đã giới thiệu khái quát về chương trình Bug Bounty nói chung cũng như chương trình Bug Bounty của Cybozu nói riêng.
Chương trình Cybozu Bug Bounty cung cấp một cơ hội tuyệt vời cho cộng đồng chuyên gia nghiên cứu bảo mật rèn luyện kỹ năng, kiếm được phần thưởng và đóng góp vào tổng thể bảo mật của các sản phẩm và dịch vụ của Cybozu.
Chúng tôi mong chờ đón nhận được nhiều report từ các chuyên gia trên khắp thế giới, đặc biệt là những report đến từ các chuyên gia bảo mật của Việt Nam.