В рамках охоты за багами участники из более чем 50 стран раскрыли 3 тысячи уязвимостей в публичных веб-ресурсах американского ведомства, из них более сотни — серьезные и критические. Минобороны США поделилось этой информацией в блоге HackerOne, где базируется программа.

После успеха пробной bug bounty, запущенной в прошлом году, Пентагон заинтересовался в подобных мероприятиях и за последние 12 месяцев объявил еще несколько раундов охоты за багами.

Программа Hack the Pentagon состоит из нескольких инициатив: одноименной программы-родоначальницы, переведенной на постоянную основу в октябре 2016 года, Hack the Army («Взломай армию»), Hack the Air Force («Взломай ВВС») и VDP (Vulnerability Disclosure Policy). Последняя — «Политика раскрытия уязвимостей» — по сути регламентирует порядок раскрытия найденных уязвимостей. В рамках этого положения участники искали бреши безвозмездно, но именно благодаря ему открылись 2837 ошибок в веб-ресурсах ведомства.

В свою очередь, инициативы Hack the… предлагали добросовестным взломщикам денежные призы. По итогам трех этих этапов Минобороны США устранило более 500 уязвимостей, а нашедшие их участники программ получили за проделанную работу 300 тысяч долларов. Несмотря на то, что большая часть отчетов пришла из США, в программе отметились исследователи из Индии, Великобритании, Пакистана, Филиппин, Египта, России, Франции, Австралии и Канады.

Серьезные и критические бреши, найденные в рамках программы Hack the Pentagon, могли нанести серьезный ущерб: в частности, среди них нашлись лазейки для SQL-инъекций, удаленного выполнения кода и обхода систем аутентификации.

В блог-записи ведомство отмечает важность подобных программ для всех стран: «Нет организаций или правительств, обладающих властью, достаточной для того, чтобы отвергать помощь в поиске проблем с безопасностью. Минобороны США задает пример и устанавливает новый стандарт подключения общества к вопросам кибербезопасности. Сотрудничество с внешними группами хакеров улучшает внутреннюю работу Минобороны в этой области».

Его примеру уже последовала служба 18F Администрации Общего Обслуживания (GSA), запустившая bug bounty для своих продуктов в мае этого года. Помимо этого, Министерство юстиции США подготовило правовую базу для подобных проектов, а Налоговое управление уже использует помощь добросовестных хакеров. Также в прошлом месяце Конгресс одобрил законопроект, согласно которому Министерству внутренней безопасности разрешается провести охоту за багами Hack the DHS, нацеленную на сам департамент.

Категории: Кибероборона, Уязвимости