Nhà sản xuất tựa game Liên Minh Huyền Thoại đưa ra chi tiết về chương trình Bug Bounty

Riot Games, nhà phát triển tựa game trực tuyến Liên Minh Huyền Thoại (League of Legends) đã chia sẻ một vài thông tin chi tiết về chương trình bug bounty của mình.

Được cung cấp trên nền tảng HackerOne từ tháng 4 năm 2013 nhưng chương trình bug bounty của Riot Games chỉ được triển khai đến một vài nhà nghiên cứu bảo mật, giúp công ty giải quyết 75 bug, khai thác và lỗ hổng. Đến nay, Riot Games đã trao thưởng cho những người tham gia chương trình với số tiền hơn $100,000.

Chương trình bug bounty của Riot bao gồm tất cả các dịch vụ truy cập từ Internet và các phần mềm phát triển bởi công ty này. Danh sách các vấn đề đủ điều kiện trao thưởng bao gồm các lỗ hổng web như cross-site scripting (XSS), SQL injection, khai thác game và những lỗ hổng khác liên quan đến cơ sở hạ tầng bảo mật, rò rỉ thông tin và sai sót bộ nhớ. Các nhà nghiên cứ báo cáo lỗ hổng được trao thưởng dựa trên mức độ nghiêm trọng của lỗ hổng. Tiền thưởng tối thiếu là $100. Tấn công vật lí và các vấn đề liên quan mà Riot không quản lí sẽ không được nhận thưởng.

Riot đã quyết định khởi động chương trình bug bounty sau khi Jamieson O’Reilly, một nhà nghiên cứu 24 tuổi người Úc đã khai thác để ăn cắp tài khoản người dùng trên diễn đàn và mạo danh nó. Lỗ hổng này không thể dùng để chiếm đoạt tài khoản nhưng có thể dẫn đến lừa đảo. “Không có phần mềm kết nối internet nào có thể bảo mật 100%. Chúng tôi biết rằng những người thông minh trên thế giới đang tìm kiếm điểm yếu trong phần mềm, trang web, cơ sở hạ tầng của chúng tôi. Một vài người đã thành công tìm ra lỗ hổng bảo mật. Khi điều đó xảy ra, chúng tôi sẽ sửa lỗi càng sớm càng tốt trước khi nó bị lạm dụng rộng rãi” – Riot Games cho biết trong blog của mình.

Các tổ chức đang ngày càng nhận ra rằng chương trình bug bounty rất hiệu quả trong việc giải quyết các vấn đề an ninh. Danh sách các công ty tung ra chương trình bug bounty trong thời gian gần đây bao gồm Pinterest, Twitter và Blackphone.

Securityweek