[VCS-72] 'Sẵn lỗi nhận thưởng' chương trình quy tụ chuyên gia bảo mật tại Viettel
- 12:03 - 22.10.2021
Là chương trình được tổ chức thường niên hàng năm tại Viettel, “Săn lỗi nhận thưởng” không chỉ quy tụ các chuyên gia bảo mật tại Viettel mà còn giúp các hệ thống nội bộ sớm phát hiện ra lỗi để khắc phục. Chương trình được tổ chức bởi VCS kết hợp với Ban CNTT Tập đoàn.
“Săn lỗi nhận thưởng” là chương trình nội bộ thường niên được Ban CNTT Tập đoàn kết hợp cùng Công ty An ninh mạng Viettel chủ trì tổ chức. Trong năm 2020, chương trình đã nhận được 55 báo cáo lỗ hổng, trong đó có 34 lỗ hổng hợp lệ. Số lượng người đăng ký tham gia chương trình lên tới 53 người, trong đó người chơi nhận thưởng nhiều nhất là 51 triệu đồng.
Trung bình mỗi cá nhân nhận thưởng trong đợt tìm lỗ hổng này lên đến hơn 20 triệu đồng. Chương trình phát hiện kịp thời các lỗ hổng hoặc vấn đề ATTT trên các phần mềm nội bộ, đồng thời khuyến khích phát triển nhân sự ATTT tại Viettel.
Chương trình tổ chức trong nội bộ Tập đoàn dành cho toàn bộ CBCNV đang làm việc tại Viettel, trừ CBCNV thuộc đơn vị phát triển hệ thống và cần đảm bảo không chia sẻ thông tin chương trình ra bên ngoài. CBNV sẽ nhận được tiền thưởng (Bounty) khi phát hiện và báo cáo lỗ hổng bảo mật (Bug) của các hệ thống nội bộ tham gia chương trình.
Về hình thức Pwn-to-Own (tìm lỗi và khai thác theo mục tiêu) cũng được triển khai để tìm kiếm các lỗi chưa được phát hiện (zero-day) trên các hệ thống có tính năng phòng vệ. Một cá nhân được xác định Pwn-to-Own thành công khi vượt qua hàng rào bảo vệ các hệ thống mà không bị phát hiện trong 15 phút. Mức thưởng cao nhất dành cho lỗ hổng ở mức độ nghiêm trọng là 20 triệu đồng đối với hình thức Bug-Bounty và 15 triệu đồng đối với hình thức Pwn-to-Own.
Để tham gia chương trình, CBNV cần đăng ký và báo cáo lỗ hổng trên hệ thống safevuln.com hoặc email trực tiếp vào hòm thư bugbountynoibo@viettel.com.vn. Hội đồng chuyên môn có trách nhiệm xác minh lỗ hổng, phân loại mức độ nghiêm trọng và đôn đốc các đơn vị khắc phục lỗ hổng với hình thức Bug-Bounty. Đối với hình thức Pwn-to-Own, cuối đợt tìm lỗ hổng, hội đồng chuyên môn dựa trên số lượng lỗ hổng để xác định mức độ an toàn của hệ thống và đưa ra quyết định khen thưởng cho đội phát triển dự án.
Đây là cơ hội để các chuyên gia bảo mật đang làm việc tại các đơn vị thuộc Tập đoàn thử sức và thể hiện bản thân cũng là hoạt động vô cùng ý nghĩa giúp hỗ trợ các hệ thống nội bộ ngày càng an toàn hơn.