据美国国土安全部(DHS)近日透露,加入“Hack DHS”漏洞赏金项目(bug bounty program)的赏金猎人已经在国土安全部的外部系统中发现了122个安全漏洞,其中27个被评估为严重漏洞。
据悉,国土安全部已向450多名经审查的安全研究人员和道德黑客发放了总计125,600美元的奖金。个人获得奖金的多少取决于他发现的漏洞的严重程度,每个漏洞最多可获得5,000美元的奖励。
“在‘Hack DHS’的第一阶段,安全研究人员们的热情参与使我们能够在关键漏洞被利用之前找到并修复它们”,国土安全部首席信息官(CIO)Eric Hysen对媒体表示道,“随着‘Hack DHS’项目的进展,我们期待进一步加强我们与研究人员群体的联系与合作。”
“Hack DHS”项目的建立借鉴了美国联邦政府和私营部门类似成果的经验,比如“黑掉五角大楼”(Hack the Pentagon)项目。
事实上,国土安全部第一次推出漏洞赏金试点项目是在2019年,这比“Hack DHS”还要早两年。当时,《安全技术法案》(SECURE Technology Act)正式签署成为法律,要求政府组织建立安全漏洞披露政策和赏金项目。
旨在为其他政府组织树立榜样
“Hack DHS” 漏洞赏金项目成立于2021年12月。项目要求黑客们披露自己发现的漏洞以及漏洞相关的详细信息。例如,如何利用该漏洞,以及如何利用该漏洞访问国土安全部系统的数据。
所有报告的安全漏洞将在48小时内由国土安全部安全专家进行验证,并在15天内(有时需要更长时间)完成内修复,具体时间取决于漏洞的复杂性。
在“Hack DHS”项目启动一周后,国土安全部扩大了赏金的范围,允许研究人员追踪受 Log4j 相关漏洞影响的国土安全部系统。此前,美国网络安全和基础设施安全局(CISA)发布了一项紧急指令,要求联邦民事行政部门在12月23日前为自身的系统打补丁,以应对严重的Log4Shell漏洞。
对此,国土安全部部长Alejandro N. Mayorkas表示:“包括国土安全部等联邦机构在内的各规模各部门的组织都应该保持警惕并采取措施加强其网络安全。而‘Hack DHS’项目正是兑现了我们部门以身作则,保护国家网络和基础设施免受威胁的承诺。”
参考来源:https://www.bleepingcomputer.com/news/security/hack-dhs-bug-hunters-find-122-security-flaws-in-dhs-systems/