Das Bug-Bounty-Programm der Homeland Security liefert 122 Schwachstellen

Das erste vom US-Heimatschutzministerium organisierte Bug-Bounty-Programm hat insgesamt 122 Schwachstellen aufgedeckt, von denen 27 als kritisch eingestuft wurden. Im vergangenen Dezember startete die Homeland Security das „Hack DHS“-Programm. Das Programm besteht aus drei Phasen. Zunächst wurde ein Modell entwickelt, mit dem auch andere Behörden ihre Cyber-Resilienz stärken können.

Während dieser Phase konnten zugelassene Hacker und Forscher bestimmte entfernte Systeme des Heimatschutzministeriums aus der Ferne testen. Diese Phase, an der mehr als 450 Sicherheitsforscher beteiligt waren, ist nun abgeschlossen. Die Forscher erhielten für ihre Fehlerberichte Beträge zwischen 500 und 5,000 US-Dollar, je nach Auswirkung der gefundenen Schwachstelle. Insgesamt wurden mehr als 125,000 US-Dollar an Prämien vergeben.

Nach der Offenlegung der Log4j-Schwachstelle beschloss das Ministerium, diese Schwachstelle ebenfalls aufzunehmen, was es zum ersten Bug-Bounty-Programm der US-Regierung machte, das Forscher für Log4j-Schwachstellen belohnt, die in öffentlich zugänglichen Systemen gefunden wurden. Nachdem die erste Phase abgeschlossen ist, ist Phase zwei geplant. Hacker und Forscher machen sich während eines Live-Hacking-Events an die Arbeit. Schließlich wird das DHS gewonnene Erkenntnisse identifizieren und auswerten und zukünftige Bug-Bounty-Programme planen.