Vntrip và Bài toán Bảo mật dữ liệu khách hàng

• Ngành: Dịch vụ
• Loại hình: Startup công nghệ
• Quy mô: 300 - 400 nhân viên
• Giải pháp: Đặt phòng khách sạn/vé máy bay giá rẻ - miễn phí xe đưa đón.
• Định giá: 45 triệu đô (Thời điểm định giá: tháng 8/2018).

Tính đến cuối năm 2018, Vntrip đang có hơn 500.000 người sử dụng và hơn 10.000 đối tác khách sạn trên toàn quốc, với hàng ngàn giao dịch đặt phòng, vé máy bay mỗi ngày qua các hệ thống website, mobile và các kênh đối tác. Thách thức lớn nhất của Vntrip về bảo mật là phải bảo vệ tuyệt đối các thông tin của khách hàng và duy trì tính sẵn sàng của hệ thống trước sự tấn công của tin tặc, nhòm ngó của đối thủ.

Ngoài ra, hệ thống và các ứng dụng của Vntrip luôn được cập nhật các phiên bản mới hàng tuần, nhằm giới thiệu tính năng mới, tối ưu các chức năng, cập nhật chương trình khuyến mãi... Việc làm này khiến cho các ứng dụng và hệ thống của Vntrip có thể tồn tại nhiều lỗ hổng bảo mật mà những người phát triển không thể phát hiện được.

Việc cần phải làm là tìm và khắc phục được các lỗ hổng bảo mật trước khi chúng bị kẻ xấu khai thác. Ban đầu, Vntrip tận dụng đội ngũ tester (kiểm thử viên) tại công ty kết hợp với một dịch vụ kiểm thử bảo mật bên ngoài (external pentest) để thực hiện test các API, ứng dụng web, ứng dụng mobile của Vntrip, các báo cáo kết quả được gửi cho Vntrip mỗi tháng. Tuy nhiên, các kết quả từ báo cáo mang lại không nhiều giá trị như mong đợi, kể từ báo cáo thứ 2 phần lớn các kết quả không có nhiều sự khác biệt, không phát hiện được các lỗ hổng thực sự nguy hiểm trên sản phẩm của Vntrip mặc dù các hệ thống API và phần mềm vẫn luôn được cập nhật các phiên bản mới. Tính ra, chi phí mà Vntrip phải trả cho mỗi lỗ hổng thực sự trong dịch vụ này lên tới 50 triệu đồng/1 lỗ hổng.

Vntrip đã bắt đầu triển khai chương trình Bug Bounty công khai tại WhiteHub từ 1/2019, với quy mô bao gồm toàn bộ các sản phẩm và ứng dụng của công ty:

• Ứng dụng website có tiên miền *vntrip.vn
• Ứng dụng mobile Vntrip trên hệ điều hành Android
• Ứng dụng mobile Vntrip trên hệ điều hành iOS

Chỉ 2 ngày sau khi chương trình được công bố những lỗ hổng đầu tiên đã được các chuyên gia tìm thấy và báo cáo cho Vntrip để kịp thời khắc phục. Ngày 23/1/2019, đánh dấu một cột mốc quan trọng trong việc bảo mật dữ liệu của Vntrip khi công ty đã kịp thời khắc phục một lỗ hổng vô cùng nghiêm trọng - tiềm ẩn nguy cơ lộ thông tin của một lượng lớn khách hàng và thẻ thành viên Vntrip. Sau gần 2 tháng triển khai chương trình Bug Bounty trên WhiteHub, tổng cộng đã phát hiện và khắc phục được 78 lỗ hổng, trong đó có tới 25 lỗ hổng được đánh giá ở mức độ cực kỳ nguy hiểm (Critical). Tổng ngân sách mà Vntrip phải chi trả chỉ là 92 triệu đồng. Tính ra, với phương pháp Bảo Mật Cộng Đồng, Vntrip chỉ phải chi trả chưa tới 3 triệu đồng cho việc phát hiện ra 1 lỗ hổng nguy hiểm.