Sự thật bất ngờ về nữ sinh chuyên Sử lại 'săn' được 9 lỗ hổng bảo mật của Tập đoàn Mỹ

Ít ai ngờ rằng, Lê Mỹ Quỳnh - thủ khoa đầu ra của Học viện Kỹ thuật Mật mã, người 'săn' được 9 lỗ hổng nguy hiểm của Tập đoàn công nghệ Oracle Mỹ lại là dân chuyên Sử.
le-my-quynh-1651883411.jpg

Lê Mỹ Quỳnh (24 tuổi)

- Thủ khoa đầu ra Học viện Kỹ thuật Mật mã năm 2021.

- Học bổng sinh viên an toàn thông tin trong Tập đoàn Bưu chính Viễn thông Việt Nam liên tiếp trong 3 năm học từ 2018-2021.

- Học bổng du học toàn phần tại Nga.

- Tìm ra 9 lỗi nghiêm trọng từ các sản phẩm của tập đoàn công nghệ Oracle (Mỹ) khi đang học đại học.

- 1 trong 10 gương mặt tiêu biểu của Thủ đô năm 2021.

- Đại biểu Hội nữ tri thức Việt Nam tham gia đại hội Đại hội đại biểu phụ nữ toàn quốc lần thứ XIII.

Với Lê Mỹ Quỳnh, môn Sử đã giúp cô có xu hướng tìm hiểu kỹ nguồn gốc mọi vấn đề trong cuộc sống cũng như công việc, trước khi xử lý một vấn đề gì, kể cả tìm những lỗ hổng bảo mật.

Chuyên Sử nhưng thích công nghệ

- PV: Chào Quỳnh, cơ duyên nào đã đưa bạn đến với trường công nghệ dù xuất thân là dân chuyên Sử?

Lê Mỹ Quỳnh: Tôi lựa chọn học chuyên Sử vì môn Sử giúp tôi phát huy khả năng trí nhớ tốt của mình. Thường những ai học Sử sẽ chọn các trường khối xã hội nhưng tôi lại không thích môn Văn. Tính tôi nguyên tắc và thực tế, cộng với việc bố tôi là cựu sinh viên công nghệ nên tôi mới chọn trường đại học trong lĩnh vực này.

- PV: Chuyển hướng sang học công nghệ, vậy lịch sử có giúp gì cho Quỳnh trong những năm tháng đại học của mình?

Lê Mỹ Quỳnh: Học Sử là yếu tố quan trọng giúp tôi định hình tính cách, rèn luyện trí nhớ. Môn Sử là môn học đề cao quá trình hình thành của mọi việc nên theo đuổi bộ môn này giúp tôi có xu hướng tìm hiểu kỹ nguồn gốc mọi vấn đề trong cuộc sống cũng như công việc, trước khi xử lý một vấn đề gì, kể cả tìm những lỗ hổng bảo mật.

- PV: Lý do gì khiến bạn chọn thi vào Học viện Kỹ thuật Mật mã dù có rất nhiều trường về công nghệ?

Lê Mỹ Quỳnh: Đầu tiên là vì bố tôi cũng là cựu sinh viên ở đây. Hơn nữa, tôi đã tìm hiểu các học bổng đi du học nước ngoài của các trường Đại học thì nhận thấy Học viện Kỹ thuật Mật mã có học bổng hỗ trợ toàn phần sang Nga với chương trình học rất thú vị. Tôi vào Học viện với mong muốn giành học bổng để vừa được đi học lĩnh vực mình thích, vừa giảm bớt gánh nặng tài chính cho bố mẹ.

- PV: Vậy kết quả xin học bổng của bạn ra sao?

Lê Mỹ Quỳnh: Đúng như mong muốn tôi đạt điểm tốt và thành công giành được học bổng du học toàn phần bên Nga.

le-my-quynh-2-1651883411.jpg
Mỹ Quỳnh dành được học bỗng du học bên Nga nhưng quyết định từ bỏ, ở lại Việt Nam hoàn thành chương trình học.

- PV: Theo tôi được biết thì hiện bạn vẫn chưa đi du học, có phải bạn đã từ bỏ ước muốn du học của mình?

Lê Mỹ Quỳnh: Tôi không từ bỏ mong muốn đi du học mà là hoãn nó lại. Tôi đã tính toán cẩn thận về quá trình này và hỏi thêm kinh nghiệm từ một số anh chị du học sinh đi trước. Nếu lựa chọn sang Nga, tôi phải học tiếng một năm, một năm học dự bị, sau đó học thêm 5 năm đại học. Mất 7 năm với một chương trình học không có gì mới so với ở Học viện Kỹ thuật Mật mã, cơ hội thực tập ngoài thực tế cũng khan hiếm. Vì vậy, tôi chọn ở lại, hoàn thành chương trình kỹ sư tại Học viện Kỹ thuật Mật mã.

Hành trình chông gai ‘săn’ 9 lỗ hổng

- PV: Bạn nổi tiếng vì có trong tay bộ sưu tập 9 lỗ hổng bảo mật của tập đoàn công nghệ Oracle, vậy bạn bắt đầu "săn" những lỗ hổng này từ khi nào?

Lê Mỹ Quỳnh: Tôi bắt đầu săn lỗ hổng khi thực tập tại Trung tâm an toàn thông tin của tập đoàn VNPT hồi năm 3. Tôi có nhiệm vụ tìm lỗ hổng trên các sản phẩm công nghệ của công ty và khách hàng đang sử dụng. Mỗi ngày tôi đều dành hết thời gian và công sức cho việc này, có hôm tôi đam mê làm đến 2, 3h sáng.

- PV: Bạn gặp những khó khăn gì khi tìm lỗ hổng bảo mật?

Lê Mỹ Quỳnh: Để tìm được một lỗ hổng tôi gặp khá nhiều khó khăn. Thời điểm bắt đầu tôi chưa được học các môn chuyên ngành, kiến thức cơ bản chưa có, nhiều đêm liền phải thức trắng để đọc tài liệu, những bài nghiên cứu đọc cả 10, 20 lần không hiểu được.

Tôi dành mất gần một năm chỉ đọc và nghiên cứu các bản vá lỗi của các anh chị tìm ra trước đó. Có những lần tôi bị áp lực, nghi ngờ năng lực của bản thân khi mất rất nhiều thời gian và công sức tìm kiếm nhưng đến nửa đường không thể tìm được lỗi, phải bỏ dở.

d1c75463ad21447f1d30-1651883411.jpg

- PV: Bạn phát hiện lỗ hổng đầu tiên khi nào? Cảm xúc của bạn lúc ấy ra sao?

Lê Mỹ Quỳnh: Tôi phát hiện ra lỗ hổng đầu tiên cuối năm 2019, sau hai tháng đọc và viết code liên tục. Thời điểm ấy vào ngày 29 Tết, chuẩn bị bước sang năm 2020.

Sau khi phát hiện ra lỗ hổng, tôi làm hồ sơ và gửi đến tập đoàn công nghệ Oracle chờ người ta đánh giá và công nhận phát hiện của mình. Trong một tháng chờ người ta phản hồi, tôi khá hồi hộp, có chút lo lắng sợ lỗi mình tìm ra không phải lỗ hổng, hoặc có người đã tìm ra trước mình.

May mắn đầu tháng 2/2020, lỗ hổng đầu tiên tôi tìm ra được công nhận. Tôi khá vui, có phần hưng phấn vì hai tháng trời thức đêm không phí hoài.

- PV: Sau lỗ hổng đầu tiên bạn có rút ra được kinh nghiệm gì cho những lần tìm tiếp theo?

Lê Mỹ Quỳnh: Sau khi phát hiện ra lỗ hổng đầu tiên, tôi có kinh nghiệm đọc, tìm lỗi nhanh hơn rồi tự đúc rút thành một quy trình tìm lỗ hổng để áp dụng đồng đều cho các lỗi sau. Những lỗ hổng tiếp theo tôi tiết kiệm được nhiều công sức, có lúc hai tuần liên tiếp tôi tìm ra hai lỗ hổng.

lo-hong-bao-mat-1651883411.jpg
Trong 3 năm Quỳnh tìm ra được 9 lỗ hổng bảo mật của một tập đoàn công nghệ Mỹ.

- PV: Đến thời điểm hiện tại bạn tìm được bao nhiêu lỗ hổng?

Lê Mỹ Quỳnh: Từ năm 2019 đến tháng 7 năm 2021, tôi phát hiện 9 lỗ hổng của Oracle. Hầu hết lỗ hổng tôi khai thác đều liên quan đến cơ chế Java Deserialization, một dạng tấn công nguy hiểm trên nền tảng ngôn ngữ lập trình Java. Một khi bị tấn công thành công, lỗ hổng dạng này có thể gây hậu quả khó lường.

Trong 9 lỗ hổng tôi phát hiện, 6 cái được đánh giá ở mức độ nghiêm trọng. Trong hai năm 2020 và 2021 tôi được Oracle liên tiếp vinh danh với "bộ sưu tập" lỗ hổng của mình, nhận thưởng 10.000 USD (khoảng 230 triệu đồng).

Những dự định tương lai

- PV: Bắt đầu đi làm và tìm lỗ hổng từ năm thứ 3 đại học, bạn làm thế nào để cân bằng được việc vừa học vừa làm?

Lê Mỹ Quỳnh: Tôi vừa muốn thực hành giỏi vừa muốn vững lý thuyết, nên tôi xác định học là nhiệm vụ trọng tâm nhưng việc đi làm lấy kinh nghiệm cũng quan trọng không kém.

Vừa đi làm cả ngày, vừa đi học từ 18-21h30 nên tôi vô cùng bận rộn. May mắn sau những nỗ lực học tập, tôi tốt nghiệp với số điểm 3,5/4, trở thành thủ khoa đầu ra của trường.

co-gai-1651883575.jpg
Mỹ Quỳnh cho rằng ngành công nghệ không phải chỉ dành cho đàn ông, mọi cô gái nếu có đam mê đều có thể thử sức.

- PV: Được biết bạn được chọn là một trong 10 gương mặt trẻ của Thủ đô năm 2021, và là đại biểu Hội nữ tri thức Việt Nam tham gia đại hội Đại hội đại biểu phụ nữ toàn quốc lần thứ XIII, bạn có thể chia sẻ một chút về cảm xúc của mình?

Lê Mỹ Quỳnh: Thời điểm làm hồ sơ tôi không nghĩ mình được chọn, với tôi những người được chọn là người có những đóng góp rất lớn, có tầm ảnh hưởng. Khi được xướng tên, tôi thấy rất bất ngờ, vui sướng và có phần hãnh diện.

Khi may mắn trở thành đại biểu đại diện Hội nữ tri thức Việt, tham gia đại hội Đại hội đại biểu phụ nữ toàn quốc lần thứ XIII, tôi có chút lạ lẫm, nhưng cũng rất vinh dự. Đây là công việc tôi tham gia cuối cùng trước dự định ra nước ngoài học tập.

Với tôi tri thức đi song hành với việc làm kinh tế, vì vậy khi tham gia Đại hội, tôi muốn truyền cảm hứng cho các bạn, đặc biệt là các bạn nữ. Các bạn phải luôn trau dồi tri thức vì đây là nền giá trị cốt lõi để phát triển toàn diện bản thân.

Mọi người thường nhìn vào công việc của tôi và cho rằng chỉ có các bạn nam mới làm được. Tham gia Đại hội đại biểu phụ nữ toàn quốc lần thứ XIII là lúc tôi chứng minh cho mọi người thấy con gái tuy sức khỏe yếu hơn, nhưng không có nghĩa những công việc đòi cao về trí tuệ, phân tích chúng tôi không làm được.

4-1651883411.jpg

- PV: Bạn nói mình dự định ra nước ngoài, bạn có thể chia sẻ một chút về chuyến đi này?

Lê Mỹ Quỳnh: Sau 3 năm làm chuyên viên kiểm thử xâm nhập và đánh giá an toàn thông tin tại VNPT Cyber Immunity, tôi quyết định nghỉ việc. Tôi thấy mình đã đủ trải nghiệm thực tế ở trong nước nên dự định cho một chuyến đi học tập tại nước ngoài.

Bố mẹ tôi khi biết tôi muốn ra nước ngoài thì rất tôn trọng quyết định này. Vì vậy, những ngày này tôi tạm gác việc săn các lỗ hổng để bên gia đình và bạn bè nhiều hơn trước khi thực hiện dự định riêng của mình.

- PV: Bạn đã dự định đi nước nào chưa? Và nếu đi khi nào bạn sẽ trở lại Việt Nam?

Lê Mỹ Quỳnh: Tôi vẫn đang trong quá trình lựa chọn quốc gia nào là nơi mình muốn đến. Nếu đi nước ngoài học tập có thể thời gian sẽ kéo dài từ 1 đến 2 năm. Tôi muốn học và thử sức ở một công ty công nghệ nào đấy trước khi quay trở về quê nhà. Việt Nam vẫn là nơi tôi mong muốn phát triển sự nghiệp của bản thân.

Cảm ơn Quỳnh vì buổi chia sẻ ngày hôm nay!