Programma 'Hack the Army' lost 118 bugs op

En je dacht dat het hacken van het Pentagon makkelijk was: het Amerikaanse leger onthulde vorige week details van zijn eerste bug bounty-programma.

Het vier weken durende Hack the Army-schema genereerde 416 kwetsbaarheidsrapporten (waarvan bijna 30 procent uniek en bruikbaar is) en ongeveer $ 100.000 voor beveiligingsonderzoekers en bugjagers.



De belangrijkste fout - zoals gemeld door HackerOne, een beveiligingsadviesbureau dat een contract heeft met het Pentagon - werd ontdekt als gevolg van een reeks geketende kwetsbaarheden die onbewust een hacker van de openbare goarmy.com-site naar een interne pagina van het ministerie van Defensie brachten meestal vereisen speciale inloggegevens om toegang te krijgen.

'Op zichzelf zijn geen van beide kwetsbaarheden bijzonder interessant, maar als je ze aan elkaar koppelt, is het eigenlijk heel serieus', legt HackerOne uit.

Het herstelteam van het leger en de Cyber ​​Protection Brigade van het leger kwamen tussenbeide om het gat te dichten.

'We zijn niet wendbaar genoeg om een ​​aantal dingen bij te houden die in de technische wereld en op andere plaatsen buiten het ministerie van Defensie gebeuren', zei voormalig legersecretaris Eric Fanning in de aankondiging van november over Hack the Army. 'We zoeken naar nieuwe manieren van zakendoen.'

De DoD experimenteerde afgelopen voorjaar met een soortgelijk programma, toen het white-hat hackers en onderzoekers uitnodigde om het Pentagon te infiltreren; 138 vastgestelde kwetsbaarheden kosten de federale overheid zo'n $ 150.000 - goed besteed geld, zei het bureau in juni.

'Wat Hack het Pentagon heeft gevalideerd, is dat er grote aantallen technologen en vernieuwers zijn die een bijdrage willen leveren aan de veiligheid van onze natie, maar daarvoor geen juridische weg hebben', zei Fanning.

Verwant

  • Hoe het Amerikaanse leger Cyber ​​Command zijn kamp opsloeg in Augusta, GeorgiaHoe het Amerikaanse leger Cyber ​​Command zijn kamp opsloeg in Augusta, Georgia

Maar in tegenstelling tot Hack the Pentagon, dat statische websites aanbood die niet als doelwitten werden beschouwd, leverde Hack the Army volgens HackerOne sites die cruciaal werden geacht voor zijn rekruteringsmissie.

'Crowdsourcing is echt de enige manier om de dynamische vaardigheden te krijgen die je nodig hebt die een statisch personeelsbestand je niet kan krijgen', zei Lisa Wiswell van de Defense Digital Service van het ministerie van Defensie afgelopen herfst in een verklaring.

Meer dan 370 mensen namen deel aan het hacken van de grootste tak van de Amerikaanse strijdkrachten, waaronder 25 regeringsmedewerkers, van wie 17 militairen.

Aanbevolen verhalen

Apple lanceert iPhone 6s-reparatieprogramma voor defecte batterijen

In tegenstelling tot de Touch Disease-fix, kost deze geen $ 149.