De uitkomst van een bug bounty-programma voor het Department of Homeland Security (DHS) is onthuld, en het is niet bepaald bemoedigend nieuws voor een overheidsinstantie die synoniem staat met cyberveiligheid.
Deelnemers aan het allereerste bugbountyprogramma van DHS, genaamd ‘Hack DHS’, bevestigden dat ze een zorgwekkend aantal beveiligingsbugs hebben gevonden.
Ze ontdekten in totaal 122 beveiligingskwetsbaarheden in externe DHS-systemen Het register En Piepende computer. Zevenentwintig bugs werden erkend als ‘kritieke ernst’.
Aanbevolen video's
Bij het Hack DHS-initiatief namen ruim 450 beveiligingsonderzoekers deel aan het programma. Voor hun inspanningen heeft de overheidsinstantie een totale beloning van $125.600 uitgekeerd, die onder de ethische hackers werd verdeeld.
Zoals treffend benadrukt door The Register, verbleekt het bovengenoemde uitbetalingscijfer in vergelijking met wat andere organisaties betalen aan premiejagers.
Intel heeft bijvoorbeeld eerder tot $100.000 aangeboden voor het succesvol blootleggen van specifieke kwetsbaarheden.
Andere technologiegiganten zoals Microsoft bieden tienduizenden dollars voor het vinden van fouten, terwijl Apple aan één persoon bijna de volledige Hack DHS-premie betaalde door hem $100.000 te geven voor het hacken van een Mac.
Google heeft ondertussen bijna $30 miljoen toegekend aan personen die deelnamen aan zijn eigen bugbountyprogramma's. In een specifiek geval het bedrijf gaf een autodidactische tienerhacker $36.000 voor het melden van een bepaalde bug.
Gezien het feit dat een van de belangrijkste verantwoordelijkheden van het ministerie van Binnenlandse Veiligheid cyber betreft Op het gebied van de beveiliging zijn velen begrijpelijkerwijs bezorgd dat er in de eerste fase zo'n groot aantal beveiligingsbugs zijn gevonden plaats. Bovendien zouden de ietwat matte betalingsniveaus die verband houden met Hack DHS een potentieel afschrikmiddel kunnen zijn voor toekomstige geïnteresseerde partijen.
Alles bij elkaar genomen lijkt het erop dat het DHS niet zo veilig is als veel Amerikanen hadden gehoopt.
De zoektocht van Homeland Security om veiliger te worden
Hack DHS werd oorspronkelijk geïntroduceerd in december 2021. Elke hacker die zich bij het programma aansluit, moet een uitgebreid overzicht geven van alle kwetsbaarheden die hij vindt. Ze moeten ook gedetailleerd beschrijven hoe deze fout kan worden aangepakt en uitgebuit door potentiële bedreigingsactoren, en uitleggen hoe deze specifiek kan worden gebruikt om toegang te krijgen tot gegevens uit DHS-systemen en deze te extraheren.
Zodra deze beveiligingsgebreken een verificatieproces door ‘DHS-beveiligingsexperts’ hebben ondergaan, duurt het 48 uur om te analyseren nadat een bug is gedetecteerd en ingediend; deze worden doorgaans binnen 15 dagen gepatcht Dus. In sommige gevallen duurt het langer dan een halve maand voordat de overheidsinstantie de ingewikkeldere tekortkomingen heeft verholpen.
Het bugbountyprogramma van de overheidsinstantie zal worden uitgevoerd via een gelaagde uitrol die uit drie fasen bestaat. De eerste fase, de uitbetalingen, is voltooid, terwijl in de komende tweede fase beveiligingsonderzoekers, zorgvuldig uitgekozen door het DHS, zullen deelnemen aan een live hackevenement.
Wat de laatste fase betreft, meldt The Register dat het DHS informatie zal delen waarvan het hoopt dat het van invloed zal zijn op aanvullende bugbounty-programma's.
De populariteit van bug bounty-programma's is steeds prominenter worden in een tijdperk waarin cybercriminelen actief zijn hun pogingen intensiveren om grote bedrijven te infiltreren, vooral op technologisch gebied.
Intel bijvoorbeeld onthulde Project Circuit Breaker, een uitbreiding van het bugbounty-programma dat werd geïntroduceerd om ‘elitehackers’ te rekruteren. Google heeft vorig jaar ook zijn Vulnerability Reward Program bijgewerkt lancering van een nieuw bugplatform.
Elders heeft Google onlangs bevestigd dat a recordaantal gevaarlijke zero-day exploits werden in 2021 geïdentificeerd, terwijl cybercriminaliteit dat wel is wijdverbreider dan ooit tevoren.
Aanbevelingen van de redactie
- Hacker naar de gevangenis gestuurd wegens grote Twitter-inbraak in 2020
- Hackers hebben mogelijk de hoofdsleutel van een andere wachtwoordbeheerder gestolen
- Microsoft heeft u zojuist een nieuwe manier gegeven om veilig te blijven tegen virussen
- Nee, 1Password is niet gehackt – dit is wat er werkelijk is gebeurd
- De maker van ChatGPT lanceert een bugbounty-programma met geldbeloningen
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
