Почти год назад, 22 ноября 2016 года, Министерство обороны США учредило специальную программу раскрытия уязвимостей. Не стоит путать эту инициативу с классической bug bounty программой, дело в том, что Минобороны не платит исследователям за найденные баги, а лишь предоставляет канал для раскрытия информации и гарантирует, что специалистов не будут преследовать юридически.

Как оказалось, даже на таких условиях программа показывает весьма неплохие результаты. Согласно опубликованному на HackerOne пресс-релизу, за прошедший год исследователи помогли Министерству обороны США устранить 2837 уязвимостей. О багах сообщили 650 ИБ-специлистов из 50 разных стран мира, включая США, Индию, Великобританию, Пакистан, Филиппины, Египет, Россию, Францию, Австралию и Канаду.

Более 100 обнаруженных специалистами проблем в итоге получили статус критических (critical) или были названы уязвимостями высокой степени серьезности (high severity). Исследователи нашли в решениях Пентагона RCE-баги, уязвимости перед SQL-инъекциями, возможности обхода аутентификации и так далее.

Стоит сказать, что Минобороны также предлагало ИБ-экспертам bug bounty программы классического формата, где за обнаруженные проблемы выплачивают денежное вознаграждение. Так, «пробным шаром» стала временная инициатива «Взломай Пентагон» (Hack the Pentagon), запущенная в начале 2016 года. Тогда программа помогла устранить 138 уязвимостей, а исследователи, принявшие участие в поиске багов, суммарно заработали более 75 000 долларов.

Признав идею Hack the Pentagon успешной, Министерство обороны вскоре запустило еще две программы вознаграждения за уязвимости, Hack the Army и Hack the Air Force, на каждой из которых специалистам удалось заработать более 100 000 долларов, а военные суммарно получили информацию о 325 уязвимостях.



3 комментария

  1. Il

    15.11.2017 at 00:07

    Надо АНБ объявить хакквест по сбору новых зеродей)))

  2. growpenny

    16.11.2017 at 11:24

    У пентагона и так своих хакерских ячеек хватает.

  3. john_

    16.11.2017 at 16:54

    Зачем бесплатно сливать инфу, когда можно ее продать?))

Оставить мнение