Nữ thủ khoa 9 lần tìm ra lỗ hổng bảo mật của Oracle

Gần đây nhất,ữthủkhoalầntìmralỗhổngbảomậtcủltd phap trong năm 2021, Quỳnh đã tìm ra thêm 5 lỗ hổng mới, đều được đánh giá ở mức nghiêm trọng hoặc cực kỳ nghiêm trọng. Những kết quả nghiên cứu này cũng đã được cô nữ sinh sinh năm 1998 đưa vào đồ án tốt nghiệp mang tên “Nghiên cứu lỗ hổng Deserialization trong ngôn ngữ Java”và giành được điểm A+.

Hoàn thành chương trình 5 năm học với điểm GPA 3.5/4.0, Quỳnh chính thức được vinh danh là thủ khoa Học viện Kỹ thuật Mật mã vào giữa tháng 11 vừa qua.

Từ bỏ suất học bổng toàn phần để được “dấn thân” sớm hơn

Có bố là cựu sinh viên Học viện Kỹ thuật Mật mã, Mỹ Quỳnh cho biết, bản thân quyết định lựa chọn ngôi trường này một phần vì được gia đình định hướng, một phần cũng vì thấy ngành An toàn thông tin khá hợp với cá tính của bản thân.

“Ngày nhỏ, em được tiếp xúc với máy tính từ khá sớm. Em thường hay mày mò “phẫu thuật” phần cứng, để xem bên trong có những thứ gì. Lớn hơn một chút, bố bắt đầu chỉ cho em cách viết code. Vì thế, em cảm thấy rằng mình hợp với ngành kỹ thuật hơn là xã hội”.

Mặt khác, Quỳnh cũng được biết, sinh viên năm nhất khi theo học ngành này ở Học viện Kỹ thuật Mật mã có thể giành học bổng du học toàn phần tại Nga. Vì thế, khi vừa vào trường, Quỳnh đã cố gắng hoàn thành thật tốt chương trình học và là một trong số ít sinh viên năm nhất giành được học bổng này.

Lê Mỹ Quỳnh, thủ khoa Học viện Kỹ thuật Mật mã năm 2021.

Nhưng khi đạt được mục tiêu ban đầu, Quỳnh lại bắt đầu do dự.

“Nếu lựa chọn sang Nga, em sẽ mất thêm thời gian 1 – 2 năm để học tiếng và hoàn thành các kỳ thi đầu vào. Vì thế, em đã quyết định ở lại để được dấn thân vào công việc sớm hơn”, Quỳnh nói.

Mặc dù quyết định từ bỏ cơ hội tốt, nhưng khi nhìn lại, Quỳnh lại thấy bản thân không hề hối hận.

Từ năm thứ 2, khi vừa bắt đầu vào học các môn chuyên ngành, cô gái Hà Nội đã tìm kiếm thông tin về các cuộc thi liên quan đến an toàn thông tin để thử sức.

CTF là một cuộc thi về bảo mật được tổ chức thường xuyên, yêu cầu người tham gia phải tìm ra các lỗ hổng bảo mật. Cô nữ sinh năm 2 nhiều lần thử sức cùng với các “đàn anh” và cũng không ít lần tìm ra được các lỗ hổng 0-day (lỗ hổng nghiêm trọng nhưng chưa ai tìm ra và biết cách vá).

Ngoài ra, Quỳnh cũng từng tham gia cuộc thi VNPT Security Marathon, sau đó trúng tuyển thực tập tại VNPT ngay khi vừa kết thúc năm thứ 2 đại học.

Ban đầu được phân công vào vị trí kiểm thử xâm nhập, một năm sau đó, Quỳnh được chuyển sang công việc nghiên cứu tại Phòng Đánh giá và kiểm thử xâm nhập. Theo Quỳnh, đây là một cơ hội tốt để cô có thể học hỏi kinh nghiệm làm việc thực tế từ các anh chị đi trước, đồng thời cũng có điều kiện để thực hành nhiều hơn.

Quỳnh trúng tuyển thực tập tại VNPT ngay khi vừa kết thúc năm thứ 2 đại học

“Em nhận thấy, việc tìm kiếm lỗ hổng bảo mật là cách thức tiếp cận kiến thức nhanh nhất trong lĩnh vực bảo mật và an toàn thông tin. Điều này cũng giúp em học các môn chuyên ngành ở trường dễ dàng hơn”.

Mặc dù phải đi làm từ 8h – 17h, sau đó lại quay về trường học từ 18 – 21h30 tối, nhưng trong suốt 5 năm ở Học viện, Quỳnh luôn giành học bổng và có điểm GPA xếp top đầu của lớp.

Tìm ra lỗ hổng của tập đoàn công nghệ Mỹ

Bắt đầu mày mò tìm các lỗ hổng bảo mật từ năm thứ 2, đến cuối năm 2019, Quỳnh đã tìm ra lỗ hổng cực kỳ nghiêm trọng đầu tiên. Năm tiếp theo là 4 lỗ hổng, đều xuất hiện trên trên máy chủ WebLogic của Oracle - tập đoàn công nghệ Mỹ có các sản phẩm đang được sử dụng bởi hàng chục nghìn công ty trên khắp thế giới.

“Nếu không nhanh chóng phát hiện sớm và đưa ra bản vá, rất có thể các hacker mũ đen sẽ tìm ra các lỗ hổng này để xâm nhập vào, từ đó gây nên những hiệu quả khó lường”, Quỳnh nói.

Đến năm nay, tổng số lỗ hổng được Quỳnh phát hiện đã tăng lên là 9 “bug”, trong đó có 6 lỗ hổng được đánh giá ở mức cực kỳ nguy hiểm. Vì thế, Quỳnh nhiều lần đã được Oracle vinh danh khi còn chưa tốt nghiệp đại học.

Với những phát hiện và nghiên cứu của mình, Lê Mỹ Quỳnh đã mạnh dạn tham dự các hội thảo về bảo mật để học hỏi và chia sẻ kỹ năng nghiên cứu, cũng như trình bày các tham luận và kết quả nghiên cứu của mình tại các hội thảo chuyên môn về an toàn thông tin.

Quỳnh cũng cho biết, muốn tìm ra một lỗ hổng, đôi khi phải mất nhiều tháng trời để nghiên cứu sản phẩm cũng như các lỗ hổng đã được tìm ra trước đó. Vì vậy, việc phải ôm máy tính trên 10 tiếng mỗi ngày là điều không còn quá xa lạ.

Để có thể cân bằng cuộc sống, ngoài thời gian đi làm, Quỳnh vẫn dành thời gian cho các sở thích riêng, hay đi chơi cùng bạn bè vào buổi tối hoặc những ngày cuối tuần.

Quỳnh cho rằng, vấn đề giới tính không phải là điều quá quan trọng trong lĩnh vực bảo mật và an toàn thông tin.

“Em nghĩ rằng, chỉ cần kiên trì, đam mê thì bất kể là nam hay nữ cũng đều có thể theo đuổi lĩnh vực này”, Quỳnh nói.

Nữ thủ khoa Học viện Kỹ thuật Mật mã cũng cho biết, mong muốn của cô là trở thành một “Security Research” có tầm ảnh hưởng trong lĩnh vực bảo mật toàn cầu, đồng thời tiếp tục tìm được những lỗ hổng đột phá hơn. Xa hơn nữa, Quỳnh cũng mong muốn được tham dự và trở thành diễn giả tại các hội nghị về bảo mật tầm cỡ quốc tế.

Thúy Nga

“Game thủ” bỏ học 3 năm đi xách vữa trở thành thủ khoa đại học

-Số tiền học mẹ cho Hậu đã chơi game hết. Với 5.000 đồng còn lại, Hậu quyết định mua một bông hồng tặng mẹ để… dễ xin tiền đóng học lại. Nhưng bất ngờ đã xảy ra.