Hacker das Pentagon gehackt und nicht wenige Bugs gefunden
Wenn das Pentagon "Hack the Pentagon" Event im März angekündigt, fragten sich viele, was Arten von Schwachstellen Hacker finden würde, wenn Regierungs-Webseiten auf Fehler zu überprüfen. Jetzt wir wissen.
Laut Verteidigungsminister Ash Carter hat mehr als 250 Teilnehmer aus den 1.400 mindestens eine Schwachstelle Bericht, mit 138 diese Schwachstellen ermittelt "legitimen, einzigartig und Anspruch auf eine Prämie," sagte er. Die Prämien pro Person ab $100 auf rund 15.000 $ reichte, wenn jemand mehrere Bugs eingereicht.
Das pilot-Programm, das von 18. April bis 12. Mai lief, Kosten ca. $150.000, rund die Hälfte davon geht an die Teilnehmer. Die Ergebnisse wurden am Freitag, laut Website des Verteidigungsministeriums veröffentlicht.
"Das Pentagon zu hacken" galt eine kostengünstige Möglichkeit, fünf von der US-Verteidigung Abteilungen Websites (defense.gov, dodlive.mil, dvidshub.net, myafn.net und dimoc.mil, laut einem Sprecher des DoD) für Sicherheitslücken zu durchforsten. Anstatt nach außen Sicherheitsfirmen, die aufwärts von $ 1 Million Kosten haben würde, rekrutiert die Regierung stattdessen Amateure Hackern zu tun, viel weniger, einige, die nur in der High School waren.
Neben der Berichterstattung über die Anzahl der Fehler, sagte Carter auch, dass die Regierung arbeitete mit HackerOne, eine Bug-Bounty-Plattform, um die Schwachstellen und das beheben die Abteilung hat "Brücken stärker innovative Bürgerinnen und Bürgern, die für unsere Verteidigung-Mission einen Unterschied machen wollen." Carter will die "bug Bounty" Programm Ausweitung auf andere Bereiche der Regierung und möchte sicherstellen, dass Hacker und Forscher Bugs ohne ein spezielles Programm zu melden.
"Geht es um Information und Technologie, die Verteidigungs-Establishment in der Regel geschlossene Systeme stützt sich auf," sagte er. "Aber die freundlicheren Augen haben wir auf einigen unserer Systeme und Websites, die mehr Lücken finden wir, mehr Schwachstellen, die wir beheben können und die größere Sicherheit bieten wir für unsere Warfighters." "
Viele Website schon Bug Bounty Programme vorhanden, aber es war das erste Mal, den die Bundesregierung mit einem solchen Programm gekommen war. Es ist gute Erfahrung für junge Hacker und Sicherheit Unholde, die wollen versuchen und hacken eine Regierungsbehörde, aber das ist eine kleine Menge von Geld für ihre Zeit.