Trong bối cảnh các hệ thống phần mềm ngày càng phức tạp và tần suất tấn công mạng không ngừng gia tăng, việc một doanh nghiệp Việt Nam được ghi nhận năng lực phát hiện và báo cáo lỗ hổng bảo mật theo chuẩn quốc tế vẫn là điều hiếm gặp. Năm 2025, nhóm kỹ sư An toàn thông tin của Công ty Cổ phần Dịch vụ Công nghệ Tin học HPT (HPT) đã tạo dấu ấn đặc biệt khi 35 lỗ hổng bảo mật do nhóm phát hiện được các hãng công nghệ và tổ chức quản lý CVE chính thức công nhận. Thành tích này thể hiện năng lực phân tích, khai thác ở tầng sâu và khẳng định sự trưởng thành của đội ngũ kỹ thuật trẻ trong lĩnh vực vốn đòi hỏi kiến thức rộng và tính kỷ luật cao.

Chia sẻ về hành trình nghiên cứu, ông Nguyễn Thành Nam – Phó Tổng Giám đốc kiêm Giám đốc Trung tâm An toàn thông tin HPT cho biết: “Chúng tôi bắt đầu với mục tiêu tìm hiểu sâu hơn cấu trúc của các nền tảng thông dụng, sau đó mở rộng sang những hệ thống phức tạp. Điều bất ngờ là càng đào sâu, chúng tôi càng phát hiện ra nhiều điểm yếu có khả năng ảnh hưởng lớn đến hoạt động thực tế của doanh nghiệp.”

Chính sự đam mê và mong muốn nâng cao năng lực chuyên môn là động lực để nhóm kỹ sư An toàn thông tin HPT duy trì cường độ nghiên cứu liên tục trong nhiều tháng, kể cả ngoài giờ làm việc.

Từ PHP Guru đến Oracle và Swift: những nền tảng đòi hỏi năng lực phân tích lõi

Trong số 35 lỗ hổng được công nhận, phần lớn thuộc WordPress, PHP Gurukul - những framework nằm trong nhóm phổ biến nhất thế giới. Tuy nhiên, điều gây chú ý cho cộng đồng bảo mật chính là việc HPT được ghi nhận lỗ hổng chính thức trên Oracle Financial và hệ thống chuyển tiền quốc tế Swift. Đây là các nền tảng có cấu trúc bảo mật phức tạp và thường chỉ những nhóm có kinh nghiệm sâu mới đủ khả năng tiếp cận. Làm việc trên các hệ thống ngân hàng hoặc chuyển tiền liên ngân hàng đòi hỏi khả năng đọc hiểu kiến trúc rất kỹ và đánh giá rủi ro ở mức nghiệp vụ.

Một trong những điều ít người biết đến là việc các hãng công nghệ quốc tế thường có quy trình xác nhận chặt chẽ, đòi hỏi nhóm kỹ sư phải cung cấp bằng chứng khai thác rõ ràng và mô tả chính xác phạm vi ảnh hưởng. Nhiều trường hợp dù đã gửi báo cáo, hãng vẫn yêu cầu bổ sung hoặc đánh giá lại mức độ nghiêm trọng. Có lỗ hổng mất hơn nửa năm mới được công nhận. Đội ngũ kỹ sư HPT liên tục đối chiếu và cập nhật giải thích kỹ thuật để hãng hiểu đúng bản chất vấn đề.

CVEs do HPT nghiên cứu được ghi nhận trên trang chính thức của Oracle

Năng lực đội kỹ thuật trẻ đang tạo nên vị thế mới của HPT

Nhóm kỹ sư của HPT bao gồm nhiều thành viên trẻ nhưng lại sở hữu vốn kiến thức rộng về phân tích mã nguồn, kiến trúc hệ thống và khai thác bảo mật. Khả năng tiếp cận bài bản, phân tích có hệ thống và tự xây dựng mã khai thác đã trở thành nền tảng giúp nhóm liên tục đạt kết quả. Vì vậy, việc được ghi danh trên các trang công bố bảo mật chính thức của Oracle, nơi trước đây đa phần chỉ có các nhóm nghiên cứu quốc tế là minh chứng rõ ràng cho vị thế chuyên môn của đội ngũ kỹ sư HPT.

Không chỉ là thành tích kỹ thuật, kết quả nghiên cứu lỗ hổng bảo mật còn mang lại nhiều giá trị chiến lược cho HPT. Trong bối cảnh doanh nghiệp ngày càng quan tâm đến an ninh mạng, việc một đơn vị công nghệ Việt Nam được công nhận trên bản đồ CVE toàn cầu giúp tăng uy tín trong các dự án đòi hỏi tiêu chuẩn bảo mật nghiêm ngặt.

Bằng tinh thần học hỏi, sự kiên trì và năng lực kỹ thuật vững vàng, nhóm kỹ sư trẻ của HPT đang chứng minh vai trò ngày càng rõ nét trong hệ sinh thái bảo mật. Thành công 35 CVE không chỉ là con số, mà còn là dấu hiệu của một thế hệ chuyên gia an toàn thông tin Việt Nam đang sẵn sàng bước ra sân chơi quốc tế.