Homeland Security bug bounty-programma levert 122 kwetsbaarheden op

Het eerste bug bounty-programma, georganiseerd door het Amerikaanse ministerie van Binnenlandse Veiligheid, heeft in totaal 122 kwetsbaarheden aan het licht gebracht, waarvan er 27 als kritiek zijn bestempeld. Afgelopen december lanceerde Homeland Security het “Hack DHS”-programma. Het programma bestaat uit drie fasen. Eerst is een model ontwikkeld waarmee ook andere overheidsinstanties hun cyberweerbaarheid kunnen versterken.

In deze fase konden goedgekeurde hackers en onderzoekers op afstand bepaalde systemen op afstand testen van het Department of Homeland Security. Deze fase, waaraan ruim 450 beveiligingsonderzoekers hebben deelgenomen, is inmiddels afgerond. Onderzoekers ontvingen bedragen tussen $ 500 en $ 5,000 voor hun bugrapporten, afhankelijk van de impact van de gevonden kwetsbaarheid. In totaal is er meer dan $ 125,000 aan beloningen toegekend.

Na de onthulling van de Log4j-kwetsbaarheid, besloot het ministerie om ook deze kwetsbaarheid op te nemen, waardoor het het eerste bug bounty-programma van de Amerikaanse overheid is dat onderzoekers beloont voor Log4j-kwetsbaarheden die zijn gevonden in openbaar beschikbare systemen. Nu de eerste fase is afgerond, is fase twee gepland. Hackers en onderzoekers gaan aan de slag tijdens een live hacking-event. Ten slotte zal het DHS de geleerde lessen identificeren en evalueren en plannen maken voor toekomstige bug bounty-programma's.