Trang chủ

Đây là năm thứ 4 liên tiếp chàng trai trẻ xuất hiện trong danh sách này vì đã có thành tích xuất sắc tìm ra nhiều lỗ hổng bảo mật nghiêm trọng của mạng xã hội lớn nhất thế giới này. Nguyễn Quốc Khánh là thành viên gắn bó với VCS đã 3 năm, ngay từ khi còn là sinh viên năm thứ 2.

Trong bảng vinh danh của Facebook năm nay, Quốc Khánh đứng thứ 9 trong số 100 hacker mũ trắng vì những đóng góp về bảo mật. Trước đó, từ năm 2020 đến năm 2022, Khánh cũng là một trong số ít người làm về bảo mật ở Việt Nam có tên trong danh sách này.

Facebook ghi nhận Nguyễn Quốc Khánh đứng thứ 9 trong danh sách Bug Bounty Program năm 2023.

Việc vinh danh đóng góp của các hacker mũ trắng được Facebook thực hiện liên tục mỗi năm một lần kể từ năm 2011 đến nay. Danh sách này bao gồm 100 người có đóng góp nhiều nhất trong việc phát hiện và vá lại các lỗ hổng bảo mật trên Facebook.

Trong công cuộc “săn lỗi” mới nhất được ghi nhận, chàng trai trẻ sinh năm 2000 đã phát hiện 2 lỗ hổng được đánh giá ở mức độ đặc biệt nghiêm trọng, cụ thể là một lỗ hổng IDOR và một lỗ hổng Race condition.

Về lỗ hổng IDOR (lỗ hổng kiểm soát truy cập, cho phép các tác nhân độc hại sửa đổi, xóa dữ liệu hoặc truy cập dữ liệu nhạy cảm), kẻ tấn công có thể “leak” ra được các file trong bộ sưu tập công khai trên workplace bất kì thông qua fileID. Trong đó Meta cũng đang sử dụng sản phẩm Workplace này, nếu bị khai thác, các file nhạy cảm trong nội bộ Meta có thể bị lộ lọt ra ngoài. Sau khi nhận báo cáo, Facebook đã nhanh chóng khắc phục lỗi.

Email từ Facebook xác nhận lỗi bảo mật được Quốc Khánh phát hiện.

Đối với lỗ hổng Race condition (lỗ hổng xảy ra do sai lệch về thời gian hoặc thứ tự thực thi tiến trình, cùng truy cập và thay đổi một vùng nhớ chung, gây sai lệch thông tin, lỗi logic và  nhiều vấn đề bảo mật khác), cụ thể trong trường hợp này kẻ tấn công có thể tăng số dư tài khoản lên vô hạn.

“Hiện tại, Meta chưa khắc phục triệt để lỗ hổng này, vẫn có thể tiếp tục nghiên cứu đào sâu khai thác thêm", Quốc Khánh chia sẻ về dự định sắp tới. Trước đó, Khánh cũng từng cho rằng một lỗ hổng khác chưa được vá triệt để khi Meta xác nhận đã khắc phục, kết quả là chỉ trong ít ngày sau đó Facebook đã tiếp tục ghi nhận thành tích của Khánh vì phát hiện này.

Tính tới thời điểm hiện tại Nguyễn Quốc Khánh đã phát hiện 26/63 lỗ hổng hợp lệ được Meta trao thưởng, các báo cáo còn lại thì đa phần là Info, Dup, N/A (tình trạng không thể xác định lỗi hoặc vấn đề cụ thể trong hệ thống hoặc dữ liệu). Kỹ sư bảo mật trẻ tuổi cũng từng tìm ra và báo cáo nhiều lỗ hổng trên các nền tảng khác, cả ở Việt Nam và trên thế giới. Tuy nhiên, Facebook vẫn là nền tảng Khánh quan tâm nhiều nhất.

Nguyễn Quốc Khánh, sinh năm 2000, một trong những thành viên trẻ nhất của phòng An ninh Hệ thống ứng dụng tại VCS.

Thành tích của Quốc Khánh đã góp phần minh chứng cho tài năng và bản lĩnh đáng nể của những nhân sự trẻ tại VCS. Trước đó không lâu vào cuối tháng 8/2023, VCS cũng đã ghi nhận thành tích của 3 kỹ sư trẻ thuộc Phòng Nghiên cứu chuyên an toàn thông tin sâu lọt Top 100 cao thủ bảo mật do Microsoft công bố là Hà Anh Hoàng, Nguyễn Xuân Hoàng và Đoàn Phan Tùng Dương. Trong đó, Hà Anh Hoàng xuất sắc lọt top 4 những người tìm được nhiều lỗ hổng trên phần mềm ERP Dynamics.