Программы выплаты вознаграждений помогли Министерству обороны США устранить тысячи уязвимостей в своих системах.

Спустя почти год после того, как Пентагон запустил программу раскрытия уязвимостей, ведомство получило 2837 достоверных отчетов об уязвимостях от примерно 650 хакеров из 50 стран по всему миру, указывается в пресс-релизе на портале HackerOne.

Более 100 обнаруженных уязвимостей были критическими или представляли серьезную опасность для систем ведомства. Проблемы в почти 40 компонентах систем Минобороны США позволяли удаленно выполнить код, осуществить SQL-инъекцию и обойти аутентификацию.

Большинство отчетов были представлены исследователями из США, Индии, Великобритании, Пакистана, Филиппин, Египта, России, Франции, Австралии и Канады.

Программа раскрытия уязвимостей Минобороны США не предполагает денежного вознаграждения — она предоставляет только канал для сообщения о проблемах безопасности без возможных юридических последствий. Однако в рамках инициативы Пентагона было запущено несколько временных программ, предлагавших денежные вознаграждения. Исследователи, принявшие участие в данных программах, заработали более $300 тыс. за обнаружение в системах ведомства почти 500 уязвимостей.

Первой такой инициативой была программа Hack the Pentagon («Взломай Пентагон»), в рамках которой исследователи заработали порядка $75 тыс. за 138 сообщений об уязвимостях. Далее ведомство запустило программы Hack the Army («Взломай армию»), в рамках которой было выплачено около $100 тыс. за 118 уязвимостей и Hack the Air Force («Взломай ВВС»), в рамках которой участники обнаружили 207 уязвимостей, заработав в общей сложности $130 тыс.

После успеха данных программ правительственные организации и законодательные учреждения США проявили усиленный интерес к программам выплаты вознаграждений за обнаруженные уязвимости.

Администрация общих служб (General Services Administration, GSA) запустила программу поиска уязвимостей, предлагающую вознаграждение в размере от $300 до $5 тыс. Министерство юстиции США также разработало механизм, призванный помочь организациям в запуске программ по поиску уязвимостей.

Хакеры помогли Пентагону исправить тысячи уязвимостей
Подписывайтесь на канал «SecurityLab» в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.