Lê Mỹ Quỳnh: Nữ thủ khoa chuyên "săn" lỗ hổng bảo mật, được Oracle vinh danh và trao thưởng 10.000 USD

Vừa qua, Lê Mỹ Quỳnh (23 tuổi, sinh viên Học viện Kỹ thuật Mật mã) vừa được xướng tên ở Lễ vinh danh thủ khoa các trường đại học, học viện tại Hà Nội. Cô bạn 9x này không phải là cái tên xa lạ mà là người được biến đến với biệt danh "thợ săn" lỗ hổng bảo mật. "Nhỏ mà có võ", Quỳnh đã tìm ra 9 lỗi nghiêm trọng từ các sản phẩm của Tập đoàn công nghệ Oracle (Mỹ) nổi tiếng và được nhận thưởng 10.000 USD.

Học sinh giỏi Sử rẽ ngang sang học bảo mật

Được biết, khi còn học cấp 2, 9x Hà Nội là "át chủ bài" của đội tuyển Lịch sử. Trước đó, cô bạn đăng ký học Sử theo lời rủ rê của bạn, rồi liên tục gặt hái thành tích tốt nhờ khả năng ghi nhớ và tư duy tốt. Liên tiếp giành giải nhất cấp quận, nhì thành phố, 9x đỗ Á khoa chuyên Sử của trường THPT chuyên Hà Nội-Amsterdam. Dù vậy, cô bạn đã từ chối theo học ở Ams mà tới THPT Yên Hòa vì nơi đây gần nhà hơn.

Hiện tại, dù không còn theo đuổi môn Sử, nhưng Quynh vẫn yêu thích bộ môn này và nói rằng đây là thứ đã giúp cô định hình tính cách. 9x cho biết: "Ngoài việc rèn luyện trí nhớ, mình nhận ra muốn phát triển bất cứ điều gì thì phải nắm rõ quá trình hình thành của nó. Quan niệm này giúp mình có xu hướng tìm hiểu kỹ nguồn gốc mọi vấn đề trong cuộc sống cũng như công việc".

Bên cạnh lịch sử, ngay từ nhỏ cô bạn đã rất đam mê máy tính. Gia đình tạo điều kiện cho Quỳnh tiếp xúc với máy tính từ sớm, mới 8-9 tuổi cô bạn đã tháo tung vỏ máy tính để "xem bên trong có gì". Lớn dần, Quỳnh được bố chỉ dẫn về lập trình, giao bài tập và cùng nhau tranh luận để giải quyết vấn đề.

Vì vậy, cô bạn đã nộp hồ sơ vào Học viện Kỹ thuật Mật mã để thuận tiện việc tìm hiểu về bảo mật và an toàn thông tin. Sau năm học đầu tiên, nữ sinh này giành được học bổng toàn phần của Chính phủ, thậm chí còn có cơ hội sang Nga để học về công nghệ thông tin. Thế nhưng, Quỳnh biết rằng nếu sang đây cô bạn sẽ phải thêm 1 năm học tiếng, 1 năm dự bị, rồi mới vào học đại học 5 năm. Chưa kể, cơ hội thực tập ở Nga cũng "không nhiều như ở Việt Nam". Cuối cùng, Quỳnh chọn ở lại học nốt chương trình kỹ sư ở Học viện.

Quỳnh quan niệm, muốn thực hành giỏi phải vững lý thuyết. Vì thế, dù đã có việc làm ổn định từ sớm, cô vẫn coi việc học là nhiệm vụ trọng tâm. Ban đầu không hướng tới mục tiêu thủ khoa, nhưng nhận thấy điểm của mình thuộc nhóm tốt nhất, 9x đã tự nhủ: "Tại sao không?". Nhờ chiến lược học tập rõ ràng, chăm chỉ học hành và nghiên cứu kĩ giáo trình, sau 5 năm Lê Mỹ Quỳnh đã tốt nghiệp thủ khoa đầu ra Học viện Kỹ thuạt Mật mã với điểm GPA 3.5/4.0.

Tìm ra 9 lỗ hổng bảo mật của Oracle

Cuối năm 2, Quỳnh trúng tuyển thực tập ở VNPT. Trong thời giand dầu thực tập, cô làm quen với công việc pentest - kiểm thử xâm nhập. 1 năm sau, Quỳnh chuyển sang công việc nghiên cứu - chính là công việc cô bạn đang tiếp tục duy trì. Nhiệm vụ của cô và các thành viên là  tìm lỗ hổng trên các sản phẩm công nghệ của Oracle mà tập đoàn này đang sử dụng.

Và rồi, sau nhiều tháng "ôm" máy tính mày mò nghiên cứu sản phẩm, cuối năm 2019 Quỳnh đã tìm ra lỗ hổng đầu tiên. Sau đó là quá trình dài hồi hộp không yên, gửi hồ sơ, đợi đánh giá và công nhận phát hiện của mình về lỗ hổng bảo mật. 9x nhớ lại: "Khi được công nhận, mình đã hú hét sung sướng. Cảm giác đó không thể quên được, là lúc mình thấy đam mê đã tạo ra thành quả và được ghi nhận".

Quynh chia sẻ: "Mình tìm lỗ hổng, trước tiên, để bảo vệ công ty của mình, tránh sự thâm nhập của hacker mũ đen. Mình luôn thử thách bản thân nên thường đặt mục tiêu tìm những 'bug' nguy hiểm và cực kì nguy hiểm (thang điểm 9,8-10). Trong 10 lỗ hổng mình kì công tìm trong năm nay, có tới 6-7 cái thuộc loại cực kì nguy hiểm. Sau khi tìm được, mình báo cáo cho Oracle để họ vá. Người phát hiện được lỗ hổng sẽ được vinh danh trên trang web của họ. Tuy nhiên, không chỉ có mình mình làm công việc này mà có rất nhiều người trên thế giới cũng tìm 'bug' và nhiều lần, mình tìm trùng 'bug' với người khác".

Trong vòng 2 năm kết tiếp, Quỳnh phát hiện tới 9 lỗ hổng của Oracle, tất cả đều là loại "0-day". Đó là loại lỗ hổng nguy hiểm nhất, chưa ai tìm ra - tức là không có bản vá. Những lỗ hổng bảo mật này đều liên quan đến cơ chế Java Deserialization, một dạng tấn công nguy hiểm trên nền tảng ngôn ngữ lập trình java. Một khi bị tấn công thành công, lỗ hổng dạng này có thể gây hậu quả khó lường. Nhờ vậy, cô bạn SN 1998 đã liên tục được Oracle vinh danh, nhận thưởng 10.000 USD (khoảng 230 triệu đồng).

Khác với hình dung của nhiều người, cô bạn tài năng này là một người biết cân bằng cuộc sống. Là người hoạt ngôn, cô thường làm diễn giả cơ các sự kiện công nghệ, chia sẻ trải nghiệm và học hỏi kiến thức từ người khác. Nếu cần, cô có thể "ôm" máy tính cả ngày để làm việc, nhưng nếu thấy căng thẳng thì sẵn sàng tạm dừng để gặp gỡ bạn bè hay đi nghỉ. 

Lê Mỹ Quỳnh tâm sự: "Nữ làm kĩ thuật trong ngành an toàn thông tin như mình, ít lắm, chắc chỉ đếm trên đầu ngón tay thôi. Thực tế, ngành này hơi khô, bởi đọc code cần sự logic nên khó có thể uyển chuyển, mềm mại được. Các bạn nữ trong lớp đại học của mình phần nhiều rẽ sang các công việc khác. Còn với mình, công việc này phù hợp với bản thân hiện tại, môi trường làm việc không có tình trạng đánh giá nam giới cao hơn. Thậm chí, vào những ngày lễ Tết, mình lại người "hưởng lợi" hơn các anh".

Xem thêm: Cậu học trò tự kỷ điều phi thường trong cuộc thi Olympic Toán quốc tế: "Có mẹ ở cạnh, mọi thứ không còn đáng sợ..."