OneMount Group tận dụng Managed Bug Bounty để bảo vệ ứng dụng như thế nào?

Dịch vụ Managed Bug Bounty hỗ trợ OneMount Group tăng cường bảo mật toàn diện cho ứng dụng Vinshop & VinID, đồng thời đảm bảo an toàn thông tin khách hàng.

One Mount Group là một hệ sinh thái công nghệ lớn tại Việt Nam, chuyên cung cấp các giải pháp trên toàn bộ chuỗi giá trị, bắt đầu từ bán lẻ, phân phối, bất động sản và dịch vụ tài chính. Các ứng dụng của One Mount bao gồm VinID, VinShop và OneHousing.

VinID là ứng dụng tích điểm và ví điện tử đa năng. Người dùng có thể tích điểm và đổi điểm khi mua sắm tại WinMart/WinMart+, thanh toán không sử dụng tiền mặt thông qua ví điện tử VinID Pay. Ứng dụng cũng cung cấp tính năng quản lý căn hộ hiệu quả với OneHousing, hỗ trợ thanh toán hóa đơn, nạp tiền điện thoại, mua vé vui chơi và giải trí.

VinShop là giải pháp dành cho các chủ tiệm tạp hóa, thực hiện mô hình B2B2C với 3 đối tượng chính: doanh nghiệp sở hữu sản phẩm, doanh nghiệp phân phối sản phẩm, và doanh nghiệp cung ứng nền tảng giao tiếp và khách hàng. VinShop mang đến khả năng tiếp cận nguồn hàng đa dạng với giá cả hấp dẫn, hỗ trợ quản lý nhập hàng và đặt hàng linh hoạt, cung cấp nhiều phương thức thanh toán và đảm bảo giao hàng nhanh chóng. Nền tảng còn hỗ trợ triển khai các chương trình gắn kết và giới thiệu sản phẩm hiệu quả.

One Mount sở hữu đội ngũ nhân sự bảo mật chất lượng cao và đã từng tiến hành đánh giá bảo mật nội bộ cho các ứng dụng. Tuy nhiên, One Mount đặt ra mục tiêu kiểm tra hiệu suất bảo mật của các ứng dụng trên môi trường production và đánh giá khả năng tấn công từ góc độ của người dùng thông thường.

Do đó, để giải quyết vấn đề này, One Mount quyết định thực hiện giải pháp Managed Bug Bounty, với sự hỗ trợ của đội ngũ chuyên gia từ CyStack giúp tăng cường bảo mật ở mức độ cao nhất.

Đối tượng kiểm thử: Ứng dụng di động.

Các bước đánh giá bao gồm:

• Bước 1: Chuyên gia CyStack chẩn đoán và phân tích lỗ hổng, sau đó gửi báo cáo chi tiết của cả VinID và VinShop lên chương trình WhiteHub, một nền tảng săn lỗi nhận thưởng được phát triển bởi CyStack.
• Bước 2: Đội ngũ chuyên gia bảo mật của CyStack tiếp nhận và duyệt báo cáo từ chuyên gia, thực hiện công việc triage để xác định tính ưu tiên và sự nghiêm trọng của từng lỗ hổng.
• Bước 3: Sau khi được triaged, chuyên gia tại chúng tôi tái hiện lỗ hổng để xác nhận tính hợp lệ, phân loại, và đánh giá mức độ nghiêm trọng. Dựa vào kết quả, lỗ hổng được chuyển sang trạng thái Accepted - Unresolved hoặc các trạng thái Rejected tương ứng.
• Bước 4: CyStack tiếp tục giao tiếp với đội ngũ bảo mật tại One Mount để xác nhận thông tin và thống nhất về việc trao thưởng cho các báo cáo đã được chấp nhận.
• Bước 5: Sau khi thỏa thuận về thưởng, One Mount thực hiện quy trình trao thưởng cho các chuyên gia đã tham gia chương trình săn lỗi nhận thưởng.
• Bước 6: One Mount bắt đầu quá trình vá lỗ hổng, thông báo cho chuyên gia để họ kiểm tra lại báo cáo sau khi lỗ hổng đã được xử lý.
• Bước 7: Nếu lỗ hổng được vá hoàn toàn, chuyển trạng thái của nó sang Accepted - Resolved; ngược lại, lặp lại quy trình vá lỗ hổng đến khi mọi vấn đề được giải quyết.

Ngoài ra, CyStack gửi báo cáo tổng hợp thông tin về các lỗ hổng đã được phát hiện và tình trạng khắc phục chúng đến One Mount hàng tháng, giúp họ duy trì một môi trường an toàn và bảo mật cho các ứng dụng của mình.

Kết quả thu về từ chương trình săn lỗi nhận thưởng trên nền tảng WhiteHub như sau:

Chương trình VinID:

• Tổng số báo cáo nhận: 21
• Tổng số báo cáo hợp lệ: 9 (2 duplicated), bao gồm 1 critical, 4 medium và 2 low.
• Tổng số tiền đã trao thưởng: 14,000,000 VNĐ, trong đó phần thưởng cao nhất trị giá 10,000,000.

Chương trình VinShop:

• Tổng số báo cáo nhận: 19
• Tổng số báo cáo hợp lệ: 2, bao gồm 1 medium và 1 low.
• Tổng số tiền đã trao thưởng: 1,000,000 VNĐ.

Chương trình săn lỗi nhận thưởng là một loại hình bảo mật cộng đồng nhằm khuyến khích các cá nhân hoặc nhóm, được gọi là “hacker mũ trắng”, xác định và báo cáo các lỗ hổng bảo mật trong phần mềm hoặc hệ thống của công ty. Các công ty sẽ trao thưởng bằng tiền, quà tặng hoặc sự công nhận cho những hacker mũ trắng phát hiện và báo cáo những lỗ hổng này.

Mục đích của chương trình là xác định và giải quyết các lỗ hổng bảo mật một cách kịp thời và hiệu quả, đồng thời cung cấp một môi trường an toàn và bảo mật cho các hacker mũ trắng báo cáo các lỗ hổng, giúp các tổ chức cải thiện tình trạng bảo mật, giảm nguy cơ tấn công mạng và vi phạm dữ liệu. Chương trình cũng có thể được áp dụng để kiểm tra tính bảo mật của nhiều hệ thống và ứng dụng, bao gồm ứng dụng web, ứng dụng di động và thiết bị IoT.

Một trong những nơi thường xuyên mở các chương trình săn lỗi nhận thưởng là WhiteHub, nền tảng bảo mật cộng đồng đầu tiên và lớn nhất tại Việt Nam được phát triển bởi đội ngũ CyStack. WhiteHub hỗ trợ các doanh nghiệp khởi chạy chương trình săn lỗi nhận thưởng của riêng họ để tìm ra các lỗ hổng một cách hiệu quả, với sự tham gia của hơn 3000 chuyên gia bảo mật.

Thông tin chi tiết, vui lòng truy cập: https://whitehub.net/

CyStack đã cung cấp hỗ trợ toàn diện về nhân lực và thời gian trong quá trình xử lý báo cáo từ các chuyên gia bảo mật của One Mount, nhằm giúp khách hàng hoàn thiện quá trình đánh giá bảo mật.

Chúng tôi đã đặt tâm huyết vào việc không chỉ triển khai các biện pháp nguyên tắc để xác định, đánh giá và xử lý các lỗ hổng, mà còn tối ưu hóa sự tương tác và giao tiếp. Tận dụng tài năng và kiến thức chuyên sâu của đội ngũ chuyên gia bảo mật, chúng tôi đã hỗ trợ One Mount trong việc tái hiện và xác nhận tính hợp lệ của các lỗ hổng.

Trong quá trình làm việc, chúng tôi đã thiết lập các cuộc họp trao đổi thường xuyên, đảm bảo hỗ trợ One Mount đến được kết luận chính xác và đáng tin cậy.

CyStack là công ty an ninh mạng tại Việt Nam được thành lập từ năm 2017. Chúng tôi cung cấp các giải pháp toàn diện, bao gồm thử nghiệm, tư vấn bảo mật và dịch vụ quản lý. Với hơn 200 doanh nghiệp và 20,000 người dùng trên toàn thế giới, chúng tôi được công nhận là đối tác đáng tin cậy của các tổ chức và là công ty mạnh mẽ hàng đầu về nghiên cứu và phát triển an ninh mạng.

Thông tin chi tiết, vui lòng truy cập: https://cystack.net/

“Ngay cả khi có nguồn lực tài chính dồi dào, việc tuyển dụng, xây dựng cũng như duy trì một đội ngũ nhân sự bảo mật phù hợp vẫn gặp nhiều bất cập.” – Ông Nguyễn Thanh Tùng, Trưởng phòng An toàn sản phẩm One Mount Group

“Ở Việt Nam, vấn đề tuyển dụng nhân lực bảo mật đang là một thách thức lớn đối với các tổ chức. Dù nhu cầu ngày càng tăng nhưng thị trường nhân sự an toàn thông tin vẫn còn hạn chế, đặc biệt là sự thiếu hụt của các nhân sự chất lượng cao.” – Ông Nguyễn Hữu Trung, Founder & CEO CyStack.

“Tôi cho rằng sẽ tốt hơn nếu doanh nghiệp có đội ngũ bảo mật nội bộ chuyên nghiệp. Tuy nhiên, điều này đôi khi bất khả thi trong bối cảnh đang thiếu hụt nhân sự như hiện tại. Chính vì vậy, một cách tiếp cận nâng cao ở đây là sử dụng bảo mật cộng đồng.” – Ông Nguyễn Hữu Trung, Founder & CEO CyStack.

“Các chuyên gia bên ngoài có sự chủ động về thời gian cũng như kiến thức sâu rộng về từng nhóm lỗ hổng bảo mật, giúp họ tìm ra các lỗ hổng nhanh chóng và hiệu quả. Nhiệm vụ còn lại của đội ngũ bảo mật nội bộ bây giờ chỉ là tập trung giải quyết các vấn đề bảo mật trên sản phẩm trong thời gian ngắn nhất để có thể đưa sản phẩm ra thị trường.” – Ông Nguyễn Thanh Tùng, Trưởng phòng An toàn sản phẩm One Mount Group