Tại Việt Nam, hiện nay có khá nhiều người tham gia Bug Bounty và tìm kiếm lỗ hổng của các hãng bảo mật, hãng phần mềm trên thế giới trong nhiều năm. Hầu hết, các chương trình tìm kiếm được lỗ hổng là của các hãng phần mềm, các nền tảng Bug Bounty trên thế giới. Đã có nhiều chuyên gia bảo mật tại Việt Nam lọt vào top cao tại các bảng xếp hạng về số lượng lỗ hổng, cũng như tính nghiêm trọng của lỗ hổng tìm được của các nền tảng đó.
TRẦN VĂN KHANG, Công ty VinCSS (Cựu sinh viên Học viện Kỹ thuật mật mã – Khóa 5)
Trần Văn Khang, Trưởng nhóm Phân tích mã độc, Công ty VinCSS (bên phải)
Năm 2020, chuyên gia Trần Văn Khang, Trưởng nhóm Phân tích mã độc, Công ty VinCSS thuộc Tập đoàn Vingroup đã phát hiện 3 lỗ hổng bảo mật nghiêm trọng trên phần mềm thiết kế nổi tiếng Adobe Illustrator. Các lỗ hổng được phát hiện có thể cho phép thực thi mã tùy ý trên máy tính của nạn nhân.
Trong quá trình công tác hơn 2 năm tại VinCSS, anh Khang còn là chủ nhân của 4 CVE khác trong các phần mềm diệt virus phổ biến trên toàn thế giới: Trend Micro, McAfee, Bitdefender, ESET. Các lỗ hổng CVE này được công nhận toàn cầu và được đăng tải trên hệ thống National Vulnerability Database của Viện tiêu chuẩn kỹ thuật quốc gia Mỹ (NIST).
Không chỉ vậy, vào tháng 04/2019, anh Trần Văn Khang đã xuất sắc vượt qua kỳ thi quốc tế và trở thành người Việt Nam đầu tiên đạt chứng chỉ bảo mật cao cấp GREM về kỹ thuật dịch ngược mã độc, do Học viện An ninh mạng SANS (Mỹ) chứng nhận.
Anh Khang chia sẻ: “Tôi rất tự hào vì đã có cơ hội để đại diện cho các chuyên gia Việt Nam tham gia đóng góp cho cộng đồng an ninh mạng thế giới. Chúng tôi mong muốn và sẽ cố gắng để đóng góp nhiều kết quả thiết thực hơn nữa cho một môi trường Internet Việt Nam an toàn, là điều kiện quan trọng để đất nước phát triển hơn nữa”.
Anh Khang là một trong những chuyên gia về an toàn thông tin tại Việt Nam đã từng theo học tại Học viện Kỹ thuật mật mã, cái nôi ra đời của nhiều chuyên gia bảo mật tại Việt Nam.
NGUYỄN TUẤN ANH, Công ty An ninh mạng Viettel (Cựu sinh viên Học viện Kỹ thuật mật mã – Khóa 11)
Nguyễn Tuấn Anh – Chuyên viên phòng An ninh hệ thống ứng dụng, Công ty An ninh mạng Viettel
Cũng từng theo học tại Học viện Kỹ thuật mật mã, chuyên gia bảo mật Nguyễn Tuấn Anh là chuyên viên Phòng An ninh hệ thống ứng dụng của Công ty An ninh mạng Viettel. Nhiệm vụ của anh là kiểm thử xâm nhập (pentest) và tấn công mô phỏng xâm nhập sâu (redteam) các hệ thống của khách hàng, bao gồm các khối như Nhà nước, ngân hàng và các doanh nghiệp lớn.
Cùng với đó, Nguyễn Tuấn Anh đã tham gia nghiên cứu một số sản phẩm, dịch vụ được sử dụng rộng rãi và tìm kiếm lỗ hổng bảo mật trên các sản phẩm đó. Đồng thời anh còn tham gia vào các nền tảng Bug Bounty trên thế giới, cũng như thực hiện xử lý các lỗ hổng được báo cáo từ các nhà nghiên cứu bên ngoài gửi tới nền tảng Bug Bounty nội bộ của Viettel và tìm kiếm lỗ hổng của các công ty, tổ chức trên thế giới, trong đó có hai nền tảng Bug Bounty lớn nhất hiện nay là HackerOne và Bugcrowd với sự tham gia của hàng trăm nghìn hacker và nhà nghiên cứu bảo mật trên toàn thế giới.
Anh thường tập trung vào các lỗ hổng mà ứng dụng web dễ mắc phải như XSS được coi là lỗ hổng phổ biến nhất trên ứng dụng web, các lỗ hổng ở phía máy chủ như SQL Injection và RCE… Thời gian quá anh đã phát hiện trên 50 lỗ hổng, trong đó có 6 lỗ hổng ở mức độ nghiêm trọng.
Một trong những lỗ hổng anh tìm được là lỗ hổng RCE trên sản phẩm Oracle E-Business Suite (Oracle EBS) của tập đoàn Oracle, cho phép chiếm quyền kiểm soát sever. khai thác thành công có thể chiếm quyền một loạt các hệ thống ERP của các công ty trên thế giới như AT