Kể từ khi ra mắt chương trình thưởng lỗi riêng tư đầu tiên của họ vào năm 2020, sáng kiến này đã mở rộng thành sự kiện hack trực tiếp kéo dài hai ngày tập trung vào việc bảo vệ dữ liệu người tiêu dùng của Lazada.
Người sử dụng nền thương mại điện tử chắc ai cũng quen thuộc với thương hiệu Lazada. Lazada Group là nền tảng Thương mại điện tử tiên phong của Đông Nam Á. Trong 10 năm qua, Lazada đã và đang đẩy nhanh tiến độ tại Indonesia, Malaysia, Philippines, Singapore, Thái Lan và Việt Nam thông qua thương mại và công nghệ. Ngày nay, một hệ sinh thái địa phương đang phát triển mạnh liên kết khoảng 160 triệu người dùng tích cực với hơn một triệu người bán tích cực hàng tháng, những người đang giao dịch an toàn và bảo mật thông qua các kênh thanh toán đáng tin cậy và Ví Lazada, nhận bưu kiện thông qua mạng lưới hậu cần cây nhà lá vườn đã trở thành mạng lưới lớn nhất trong khu vực. Với tầm nhìn đạt được 100 tỷ USD GMV hàng năm, Lazada đặt mục tiêu phục vụ 300 triệu người mua sắm vào năm 2030 và là công ty tốt nhất trong việc hỗ trợ các thương hiệu và người bán số hóa doanh nghiệp của họ. Vào năm 2022, Quỹ Lazada được thành lập để trao quyền cho thanh niên và phụ nữ vì tương lai kỹ thuật số, thu hẹp khoảng cách giới kỹ thuật số và nâng cao tinh thần cộng đồng bằng cách tạo ra tác động tích cực.
Mới đây tại Singapore, Lazada đã kết thúc đợt thưởng lỗi trực tiếp mới nhất của mình với YesWeHack, một Nền tảng Chính sách tiết lộ lỗ hổng và lỗ hổng bảo mật (VDP) hàng đầu toàn cầu. Chương trình thưởng lỗi trực tiếp kéo dài hai ngày, được tổ chức tại Hội nghị Bảo mật Hack In The Box (HITBSecCONF 2022), dẫn đến 115 báo cáo về lỗ hổng bảo mật được gửi bởi hàng chục nhà nghiên cứu có mặt tại sự kiện, bao gồm một số nhà nghiên cứu bảo mật giỏi nhất trong thế giới.
Sau khi chạy thành công chương trình Bug Bounty kéo dài hai năm với YesWeHack, Lazada đã mở rộng chương trình này lên cấp độ tiếp theo trong năm nay trong HITBSecCONF 2022. Sự kiện này cho phép Lazada thử nghiệm các ứng dụng của họ trong một khoảng thời gian nhất định, đồng thời có thể gặp gỡ các nhà nghiên cứu. để trao đổi về những khám phá – do đó cung cấp cho Lazada những hiểu biết sâu sắc và độc quyền về các lỗ hổng được tìm thấy.
Lazada muốn sử dụng sự kiện trực tiếp này như một cơ hội để đạt được sự bảo mật chuyên sâu. Để thực hiện điều này, công ty đã tự nguyện vô hiệu hóa một số cơ chế bảo mật cho các nhà nghiên cứu tham gia và chỉ trong thời gian diễn ra sự kiện, cho phép họ thử nghiệm rộng rãi các hệ thống và ứng dụng. Ví dụ: các nhà nghiên cứu đã có thể vượt qua Tường lửa Ứng dụng Web (WAF) trong suốt thời gian diễn ra sự kiện — cho phép họ xâm nhập trực tiếp vào các trang web và dịch vụ của nền tảng Thương mại điện tử. Lazada đã chọn vô hiệu hóa WAFs cho các thợ săn, vì thực tế là mặc dù họ có thể chặn hầu hết các cuộc tấn công, nhưng chúng không thể sai lầm. Ngoài WAFs, Lazada cũng vô hiệu hóa các giải pháp bảo mật khác thường được sử dụng như một tuyến phòng thủ đầu tiên, để tạo cơ hội cho tin tặc kiểm tra sâu hơn ứng dụng của họ.
“Việc hoàn thành một chương trình trực tiếp trên quy mô này thể hiện cam kết của Lazada đối với bảo mật và lập trường tiến bộ đối với tiền thưởng lỗi. Bằng cách tương tác với cộng đồng rộng lớn hơn, gã khổng lồ thương mại điện tử đang đặt niềm tin ở mức độ chưa từng có đối với những tin tặc có đạo đức để củng cố tốt hơn tính bảo mật, tính minh bạch của họ. là quyền riêng tư và bảo vệ dữ liệu. Chúng tôi rất vui khi có thể đóng góp vào một sự hợp tác thành công khác với Lazada ” – ông Kevin Gallerin, Giám đốc điều hành APAC YesWeHack, cho biết.
“Bảo mật dữ liệu của khách hàng và bảo vệ dữ liệu khỏi bất kỳ sự cố nào trong tương lai là điều quan trọng hàng đầu tại Lazada. Có một số nhà nghiên cứu bảo mật giỏi nhất trên thế giới ở cùng phòng với chúng tôi là một cơ hội đặc biệt để học hỏi và trao đổi – đặc biệt là đối với đội đỏ của chúng tôi, những người Bruno Demarche” – người đứng đầu Nhóm Red Team & Nhóm Kiểm tra Bảo mật tại Lazada Group, chia sẻ.
“Chương trình tiền thưởng lỗi trực tiếp là một trải nghiệm bổ ích cho Lazada và YesWeHack như nhau. Các nhóm đã có thể phát hiện ra kết quả chất lượng, điều này đã cho chúng tôi ý tưởng về cách chúng tôi có thể cải thiện quy trình thử nghiệm nội bộ cho ứng dụng và dịch vụ của chúng tôi để cuối cùng là bảo vệ tốt hơn Khách hàng và đối tác của Lazada ”, – ông Yuezhong Bao, Trưởng bộ phận An ninh mạng, Tập đoàn Lazada, khẳng định.
Được thành lập vào năm 2015, YesWeHack là một Nền tảng Bug Bounty và VDP toàn cầu. YesWeHack cung cấp cho các công ty một cách tiếp cận sáng tạo đối với an ninh mạng với Bug Bounty (trả tiền cho mỗi lỗ hổng được phát hiện), kết nối hơn 40.000 chuyên gia an ninh mạng (tin tặc có đạo đức) trên 170 quốc gia với các tổ chức để bảo mật phạm vi bị lộ và báo cáo lỗ hổng trong trang web, ứng dụng di động của họ, cơ sở hạ tầng và các thiết bị được kết nối. YesWeHack điều hành các chương trình riêng tư (chỉ dựa trên lời mời) và các chương trình công khai cho hàng trăm tổ chức trên toàn thế giới tuân thủ các quy định nghiêm ngặt nhất của Châu Âu. Ngoài nền tảng Bug Bounty, YesWeHack cũng cung cấp: giải pháp tạo và quản lý cho Chính sách tiết lộ lỗ hổng bảo mật (VDP), Nền tảng quản lý Pentest, nền tảng học tập cho các hacker có đạo đức được gọi là Dojo và nền tảng đào tạo cho các tổ chức giáo dục, YesWeHackEDU.
Quan hệ đối tác của Lazada với YesWeHack bắt đầu vào tháng 1 năm 2020 với chương trình tiền thưởng lỗi riêng kéo dài 18 tháng thành công. Sau đó, các đối tác tiếp tục mở rộng phạm vi hợp tác của họ và Lazada đã mở chương trình của mình cho công chúng vào năm 2021, với phần thưởng lên đến 10.000 đô la Mỹ cho mỗi khoản tiền thưởng. Kể từ đó, công ty đã làm việc với hơn 45.000 tin tặc có đạo đức để phát hiện các lỗ hổng trong ứng dụng và hệ thống của họ nhằm đạt được sự an toàn và bảo vệ tối đa trên nền tảng của họ.
Sự hợp tác với Lazada cũng đã cho phép YesWeHack nâng cao hơn nữa cộng đồng các chuyên gia an ninh mạng và định vị công ty là công ty hàng đầu về tiền thưởng lỗi ở Châu Á Thái Bình Dương. Kể từ năm 2019, YesWeHack đã phục vụ hơn 60 khách hàng từ trụ sở chính tại Châu Á Thái Bình Dương tại Singapore, bao gồm các BFSI lớn, các kỳ lân công nghệ và các cơ quan chính phủ. Với nhu cầu thị trường ngày càng tăng đối với mô hình bảo mật nguồn lực cộng đồng, 40% các nhà nghiên cứu bảo mật của YesWeHack đến từ Châu Á, với 30% khách hàng của họ đến từ Úc, Trung Quốc, Indonesia, Malaysia và Singapore.
Bảo Anh
