Nữ thủ khoa chuyên 'săn' lỗ hổng bảo mật

Hà Nội
Trước khi tốt nghiệp thủ khoa Học viện Kỹ thuật Mật mã, Mỹ Quỳnh đã tìm ra 9 lỗ hổng bảo mật của Oracle, được vinh danh và nhận thưởng 10.000 USD.

Lê Mỹ Quỳnh, 23 tuổi, cựu sinh viên Học viện Kỹ thuật Mật mã, được xướng tên tại Lễ vinh danh thủ khoa các trường đại học, học viện tại Hà Nội, hôm 18/11.

Vị trí thủ khoa là thành quả một chiến lược học tập dài hạn của Quỳnh. Bên cạnh điểm số, cô gái "nhỏ mà có võ" còn gây ấn tượng với biệt danh "thợ săn" lỗ hổng bảo mật khi tìm ra 9 lỗi nghiêm trọng từ các sản phẩm của tập đoàn công nghệ Oracle (Mỹ).


Lê Mỹ Quỳnh tại Lễ vinh danh thủ khoa các trường đại học, học viện tại Hà Nội, tối 18/11. Ảnh: Nhân vật cung cấp

Khi còn học cấp hai, Quỳnh từng là "át chủ bài" trong đội tuyển Lịch sử của trường. Nghe theo lời rủ rê của bạn cùng bàn, cô gái sinh năm 1998 đăng ký học Sử. Với khả năng ghi nhớ và tư duy tốt, nhiều tháng liền Quỳnh có thành tích tốt nhất đội.

Với giải nhất cấp quận, giải nhì thành phố, Quỳnh đỗ á khoa chuyên Sử của trường THPT chuyên Hà Nội-Amsterdam. Tuy nhiên, nữ sinh quyết định theo học THPT Yên Hòa vì gần nhà, thuận tiện đi lại. Đến giờ, dù không học và làm việc liên quan đến Lịch sử, Quỳnh cho rằng quá trình theo đuổi môn học này đã giúp cô định hình tính cách. "Ngoài việc rèn luyện trí nhớ, mình nhận ra muốn phát triển bất cứ điều gì thì phải nắm rõ quá trình hình thành của nó. Quan niệm này giúp mình có xu hướng tìm hiểu kỹ nguồn gốc mọi vấn đề trong cuộc sống cũng như công việc", Quỳnh nói.

Quỳnh được gia đình tạo điều kiện tiếp xúc với máy tính từ nhỏ. Mới 8-9 tuổi, cô bé đã tò mò, tháo tung vỏ máy tính "để xem bên trong có những gì". Lớn dần, Quỳnh được tiếp cận với lập trình. Có bố từng công tác cùng lĩnh vực, nữ sinh thường được bố "giao bài tập" lập trình, sau đó cùng tranh luận về cách giải quyết.

Để thỏa mãn hứng thú tìm hiểu về bảo mật và an toàn thông tin, Quỳnh nộp hồ sơ vào Học viện Kỹ thuật Mật mã. Kết thúc năm học đầu tiên, nữ sinh giành học bổng toàn phần của Chính phủ, được chọn một trường bất kỳ tại Nga để học công nghệ thông tin. Tuy nhiên, cô gái Hà Nội cân nhắc rất kỹ. Nếu sang Nga, Quỳnh sẽ mất một năm học tiếng, một năm dự bị, sau đó học thêm 5 năm đại học. Thời gian học quá dài, chưa kể cơ hội thực tập "không nhiều như ở Việt Nam". Cuối cùng, Quỳnh chọn ở lại, hoàn thành chương trình kỹ sư tại Học viện Kỹ thuật Mật mã.


Lê Mỹ Quỳnh, thủ khoa đầu ra của Học viện Kỹ thuật Mật mã năm 2021. Ảnh: Nhân vật cung cấp

Cuối năm hai, Quỳnh thực tập và học việc tại trung tâm an toàn thông tin của một tập đoàn viễn thông lớn ở Việt Nam. Nhiệm vụ của Quỳnh cùng các thành viên trung tâm là tìm lỗ hổng trên các sản phẩm công nghệ của Oracle mà tập đoàn này đang sử dụng. Sau nhiều tháng "ôm" máy tính nghiên cứu sản phẩm và các lỗ hổng đã được tìm ra trước đó, thành quả đầu tiên đến với Quỳnh vào cuối năm 2019.

Trong thời gian gửi hồ sơ, đợi đánh giá và công nhận phát hiện của mình về một lỗ hổng bảo mật, Quỳnh đứng ngồi không yên. Cô vừa lo lắng ai đó đã tìm ra trước, vừa sợ mình sai sót ở đâu đó. "Khi được công nhận, mình đã hú hét sung sướng. Cảm giác đó không thể quên được, là lúc mình thấy đam mê đã tạo ra thành quả và được ghi nhận", Quỳnh nhớ lại.

Hành trình "săn" lỗ hổng bảo mật của Quỳnh không phải lúc nào cũng suôn sẻ. Có lần, dù đã mất rất nhiều thời gian và công sức, đến khi gửi hồ sơ thẩm định, Quỳnh nhận được phản hồi đã có người báo cáo lỗ hổng này. Không bỏ cuộc, cô vẫn kiên trì và tìm được thêm nhiều lỗ hổng khác.

Trong các năm 2019-2021, Quỳnh đã phát hiện 9 lỗ hổng của Oracle, đều thuộc loại "0-day". Đây là loại lỗ hổng nguy hiểm nhất, chưa ai tìm ra, đồng nghĩa với việc chưa có bản vá. Hầu hết lỗ hổng Quỳnh khai thác đều liên quan đến cơ chế Java Deserialization, một dạng tấn công nguy hiểm trên nền tảng ngôn ngữ lập trình java. Một khi bị tấn công thành công, lỗ hổng dạng này có thể gây hậu quả khó lường.

Trong 9 lỗ hổng Quỳnh phát hiện, 6 cái được đánh giá 9,8/10 về mức độ nghiêm trọng. Cô gái sinh năm 1998 đã được Oracle liên tiếp vinh danh trong hai năm 2020 và 2021 với "bộ sưu tập" lỗ hổng của mình, nhận thưởng 10.000 USD (khoảng 230 triệu đồng).


Mỹ Quỳnh khi tập trung làm việc. Ảnh: Nhân vật cung cấp
Quỳnh quan niệm, muốn thực hành giỏi phải vững lý thuyết. Nên dù đã có việc làm ngay từ năm thứ ba đại học, cô vẫn xác định "học là nhiệm vụ trọng tâm". Đi làm cả ngày, Quỳnh đăng ký học vào khung 18-21h30. Không hướng tới mục tiêu thủ khoa đầu ra khi mới vào trường nhưng trải qua vài kỳ học đầu tiên, nhận thấy điểm của mình thuộc nhóm tốt nhất khoa, Quỳnh đã nghĩ "tại sao không?".

Sau đó, cô xây dựng chiến lược học tập rõ ràng. Quỳnh cho rằng không nhất thiết môn nào cũng phải được A+, thay vào đó, cô đặt mục tiêu điểm số dựa trên năng lực: môn chuyên ngành hoặc có thế mạnh phải đạt điểm tốt, những môn "không giỏi lắm" có thể B+. Để kế hoạch thành công, Quỳnh xác định phong độ là quan trọng nhất. Khi đi học, cô thường ngồi bàn đầu, nhưng... không ghi chép gì mà học để hiểu. Trước mỗi kỳ thi, cô đọc kỹ đề cương và nghiên cứu giáo trình. Kết quả, sau 5 năm, cô tốt nghiệp thủ khoa đầu ra của Học viện Kỹ thuật Mật mã với điểm số 3,5/4.

Thầy Nguyễn Văn Bình, Hệ trưởng Hệ Quản lý sinh viên, Học viện Kỹ thuật Mật mã, đánh giá, thông thường sinh viên năm 3-4 đã có việc làm ổn định sẽ xao nhãng học tập một chút, đôi khi trượt môn. Nhưng Quỳnh không trượt học bổng kỳ nào. "Điều đó cho thấy Quỳnh có năng lực học tập, định hướng tốt cùng tính tự giác, kỷ luật cao. Ngoài việc học, em vẫn tham gia nghiên cứu khoa học cũng như các cuộc thi trong và ngoài trường", thầy Bình nói.

Khác với hình dung của nhiều người về thủ khoa chỉ biết học, hay "dân" công nghệ suốt ngày vùi đầu vào máy tính, Quỳnh biết cân bằng cuộc sống. Là người hoạt ngôn, cô thường làm diễn giả cho các sự kiện công nghệ để chia sẻ trải nghiệm và học hỏi kiến thức từ các khách mời. Khi cần, Quỳnh có thể "ôm" máy tính cả ngày nhưng nếu nhận thấy cơ thể không khỏe hoặc stress, cô sẵn sàng gập máy tính và giải tỏa bằng cách chơi đàn, gặp gỡ bạn bè hoặc đi ngủ.

Sắp tới, Quỳnh tiếp tục tìm kiếm lỗ hổng trên sản phẩm của Oracle, đặt mục tiêu tìm thấy những lỗi bảo mật đột phá hơn. Thời gian qua, cô đã tích lũy thêm nhiều kiến thức và mong muốn chia sẻ trải nghiệm trong những hội thảo quy mô quốc tế.

Thanh Hằng

https://vnexpress.net/nu-thu-khoa-chuyen-san-lo-hong-bao-mat-4395720.html

10000 đô cho 9 lỗ hổng thì có nhiều không ae?

 

hình như chú táo nhà ta cũng có vụ quỵt " học bổng bug " thì phải

 

Đọc cái này đoán là làm cho Viettel rồi.
Mà em này học chuyên Sử đổi sang CNTT cũng ảo. Không rõ tìm mấy lỗi bảo mật kiểu này có khó không, chưa nhìn mấy người kiểu này làm việc bao giờ.

 

Đố chị tìm dc lỗ hổng của BKAV

 

Ăn

 

Hên e không săn lỗi bảo mật của BKAV, không là giờ khéo bị kiện r

 

Vì chị đi qua nó chục lần cứ tưởng nó là cái cổng

 

Đọc comment trên Facebook chúng nó bảo giống Bomman nhìn lại thì giống thật lmao.

 

Bố làm IT, ở nhà bố dạy lập trình.

 

cái trên mũi là khuyên xỏ mũi ah ?

 

99% em này les

 

Cả đời này chưa chơi được em nào it học giỏi, muốn thử để biết coi truyền thuyết vừa đụ vừa rên mã morse coi có đúng không

 

mẹ có cái họ tên người ta cũng viết sai, đã thế còn hiện trên bảng tổ bố

 

https://juice-shop.herokuapp.com/
Sách online dạy lỗ hổng cơ bản đây free 100% . Mình đọc hết cuốn này rồi.

 

vl chụp nghiêng mặt y chang thằng bạn

 

Nếu chỉ là mấy cái lỗi cơ bản như của công ty bảo mật hàng đầu VN nào đó thì không khó, nhưng viết code exploit lỗi 0days thì cần nhiều kinh nghiệm và kiên nhẫn, và cả may mắn nữa.
Nói chung làm bảo mật thì ngoại trừ cần kỹ năng và kinh nghiệm, thì có khả năng kiên nhẫn và làm những việc chán ngắt nữa.

 

Thằng bạn fen có phải là fen

 

nữ hacker trên phim ảnh:


nữ hacker ngoài đời:

 

Nhìn góc này đẹp trai hơn mình

 

Tìm được thì cho bao nhiêu tiền?