Το Υπουργείο Εσωτερικής Ασφάλειας (DHS) αποκάλυψε σήμερα ότι οι κυνηγοί επικηρυγμένων σφαλμάτων που είναι εγγεγραμμένοι στο πρόγραμμα επικηρύξεων σφαλμάτων «Hack DHS» έχουν βρει 122 ευπάθειες ασφαλείας σε εξωτερικά συστήματα DHS, 27 από αυτά κρίσιμης σοβαρότητας.
Το DHS απένειμε συνολικά 125.600 $ σε περισσότερους από 450 ελεγμένους ερευνητές ασφάλειας και ηθικούς χάκερ, με ανταμοιβές έως και 5.000 $ ανά σφάλμα, ανάλογα με τη σοβαρότητα του ελαττώματος.
«Η ενθουσιώδης συμμετοχή της κοινότητας των ερευνητών ασφαλείας κατά την πρώτη φάση του Hack DHS μας έδωσε τη δυνατότητα να βρούμε και να διορθώσουμε κρίσιμα τρωτά σημεία προτού μπορέσουννα γίνουν αντικείμενο εκμετάλλευσης», δήλωσε ο επικεφαλής πληροφοριών του DHS Eric Hysen.
«Ανυπομονούμε να ενισχύσουμε περαιτέρω τη σχέση μας με την ερευνητική κοινότητα καθώς προχωρά το Hack DHS».
Το πρόγραμμα «Hack DHS» βασίζεται στην εμπειρία παρόμοιων προσπαθειών στην ομοσπονδιακή κυβέρνηση των ΗΠΑ (π.χ. το πρόγραμμα «Hack the Pentagon») και στον ιδιωτικό τομέα.
Το DHS ξεκίνησε το πρώτο του πιλοτικό πρόγραμμα επιβράβευσης σφαλμάτων το 2019, δύο χρόνια πριν από το «Hack DHS», μετά την νόμου SECURE Technology Act , ο οποίος απαιτεί τη θέσπιση μιας πολιτικής αποκάλυψης ευπάθειας ασφαλείας και ενός προγράμματος επιβράβευσης.
Ξεκίνησε για την ανάπτυξη ενός μοντέλου για άλλους κυβερνητικούς οργανισμούς
Το πρόγραμμα επιβράβευσης σφαλμάτων «Hack DHS» ανακοινώθηκε τον Δεκέμβριο του 2021. Απαιτεί από τους χάκερ να αποκαλύψουν τα ευρήματά τους μαζί με λεπτομερείς πληροφορίες σχετικά με την ευπάθεια, πώς μπορεί να εκμεταλλευτεί και πώς μπορεί να χρησιμοποιηθεί για να αποκτήσουν πρόσβαση στα συστήματα DHS δεδομένων.
Στη συνέχεια, όλα τα αναφερόμενα ελαττώματα ασφαλείας επαληθεύονται από ειδικούς ασφαλείας του DHS εντός 48 ωρών και επιδιορθώνονται σε 15 ημέρες ή περισσότερες, ανάλογα με την πολυπλοκότητα του σφάλματος.
Μία εβδομάδα μετά την κυκλοφορία, το DHS επέκτεινε το πεδίο εφαρμογής του προγράμματος επιβράβευσης «Hack DHS» για να επιτρέψει στους ερευνητές να εντοπίσουν συστήματα DHS που επηρεάζονται από ευπάθειες που σχετίζονται με το Log4j.
Η απόφαση να επεκταθεί το πρόγραμμα ήρθε μετά από οδηγία έκτακτης ανάγκης της CISA που διέταξε τις υπηρεσίες του Federal Civilian Executive Branch να επιδιορθώσουν τα συστήματά τους έναντι του κρίσιμου σφάλματος Log4Shell μέχρι τις 23 Δεκεμβρίου.
“Οργανισμοί κάθε μεγέθους και σε κάθε τομέα, συμπεριλαμβανομένων ομοσπονδιακών υπηρεσιών όπως το Υπουργείο Εσωτερικής Ασφάλειας, πρέπει να παραμείνουν σε επαγρύπνηση και να λάβουν μέτρα για να αυξήσουν την κυβερνοασφάλειά τους», πρόσθεσε υπουργός Εσωτερικής Ασφάλειας Αλεχάντρο Ν. Μαγιόρκας.