Det første bug bounty-program organiseret af det amerikanske Department of Homeland Security har afsløret i alt 122 sårbarheder, hvoraf 27 er blevet betegnet som kritiske. I december sidste år lancerede Homeland Security programmet "Hack DHS". Programmet består af tre faser. Først blev der udviklet en model, som andre offentlige myndigheder også kan bruge til at styrke deres cyberresiliens.
I denne fase var godkendte hackere og forskere i stand til at fjernteste visse fjernsystemer fra Department of Homeland Security. Denne fase, hvor mere end 450 sikkerhedsforskere deltog, er nu afsluttet. Forskere modtog beløb på mellem $500 og $5,000 for deres fejlrapporter, afhængigt af virkningen af den fundne sårbarhed. I alt er der uddelt mere end $125,000 i belønninger.
Efter afsløringen af Log4j-sårbarheden besluttede ministeriet også at inkludere denne sårbarhed, hvilket gør det til det første amerikanske regerings bug-bounty-program til at belønne forskere for Log4j-sårbarheder fundet i offentligt tilgængelige systemer. Nu hvor første fase er afsluttet, er fase to planlagt. Hackere og forskere vil komme på arbejde under en live hacking-begivenhed. Endelig vil DHS identificere og evaluere erfaringer og planlægge fremtidige bug bounty-programmer.