Phát hiện lỗ hổng bảo mật trên sản phẩm Apple có thể nhận được 5 triệu USD tiền thưởng

Apple vừa tuyên bố sẽ tăng gấp đôi mức thưởng cho chương trình bảo mật lên 2 triệu USD ​​trong chương trình Apple Security Bounty. 

Với quyết định này, Apple đã trở thành doanh nghiệp chi thưởng hào phóng nhất cho những người phát hiện ra lỗ hổng trong sản phẩm của mình.

Không dừng ở đó, Apple còn cho biết nếu cộng các khoản thưởng bổ sung tổng số tiền thưởng có thể vượt 5 triệu USD.

Theo blog Security Research của Apple, kể từ năm 2020, gã khổng lồ đã chi hơn 35 triệu USD để trả thưởng cho hơn 800 nhà nghiên cứu bảo mật, với mức thưởng trung bình khoảng 43.750 USD.

Apple cho biết nhiều cá nhân đã từng nhận được khoản thưởng lên tới 500.000 USD.

Giải thưởng cao nhất trị giá 2 triệu USD được dành cho những người phát hiện ra chuỗi khai thác phức tạp, tương tự như các kỹ thuật thường được sử dụng trong các chiến dịch phần mềm gián điệp thuê ngoài.

Bên cạnh đó, Apple cũng thiết lập những hạng mục thưởng riêng cho các phát hiện liên quan đến Chế độ Khóa (Lockdown Mode) và các phiên bản phần mềm beta. 

Apple còn thiết lập nhiều hạng mục thưởng khác, xác định theo mức độ nghiêm trọng và mức độ kỹ thuật của lỗ hổng: 1 triệu USD cho những phát hiện có khả năng xâm phạm iCloud ở quy mô lớn; 300.000 USD cho hình thức tấn công không dây tầm gần qua sóng radio hoặc cho người vượt được sandbox của WebKit chỉ bằng một cú nhấp chuột và 100.000 USD cho ai vượt được lớp bảo vệ Gatekeeper trên macOS.

Tổng giá trị thưởng có thể vượt 5 triệu USD cho những trường hợp đặc biệt nghiêm trọng.

Đây không phải là chương trình săn lỗi bảo mật duy nhất mà các chuyên gia an ninh mạng có thể tham gia. AMD đã giới thiệu chương trình riêng từ năm ngoái, với mức thưởng cao nhất 30.000 USD, trong khi Intel trả thưởng tối đa 100.000 USD cho mỗi phát hiện hợp lệ.

Microsoft hiện đưa ra mức thưởng lên tới 250.000 USD, đồng thời giảm độ tuổi tham gia xuống còn 13, sau khi một học sinh trung học gửi hơn 20 báo cáo lỗ hổng chỉ trong kỳ nghỉ hè năm ngoái.

Meta là một trong những đơn vị khởi xướng sớm nhất, ra mắt chương trình từ năm 2011. Hiện nay, công ty thưởng tối đa 300.000 USD và đã chi hơn 25 triệu USD cho các chuyên gia bảo mật trên toàn cầu.

Còn Google khởi động Chương trình Phần thưởng Lỗ hổng (VRP) từ năm 2010, với mức thưởng dao động từ vài trăm USD đến 1 triệu USD cho các phát hiện nghiêm trọng, đặc biệt là trên chip bảo mật Titan M. Riêng trong năm 2024, Google đã trao 11,8 triệu USD cho 660 nhà nghiên cứu, với mức thưởng trung bình khoảng 17.800 USD mỗi người.

Những khoản thưởng hấp dẫn đã biến việc “săn lỗi bảo mật” thành một nghề mang lại thu nhập hấp dẫn, nhất là với những người có tay nghề cao.

Dù có vẻ tốn kém, nhưng với các công ty công nghệ, trả tiền thưởng cho người phát hiện lỗi vẫn rẻ hơn nhiều so với việc để tin tặc phát hiện và lợi dụng lỗ hổng, gây thiệt hại nặng nề về uy tín và tài chính.

Hơn nữa, trong bối cảnh các tổ chức nhà nước và nhóm tấn công mạng ngày càng sử dụng kỹ thuật tinh vi để nhắm vào những mục tiêu cụ thể, một lỗi phần mềm nhỏ cũng có thể dẫn đến hậu quả nghiêm trọng, thậm chí đe dọa đến an toàn con người.