Hack the Pentagon
Hack the Pentagon es una iniciativa de seguridad respaldada por el Departamento de Defensa de los Estados Unidos (DoD) y gestionada por la plataforma Hackerone.
Proyecto piloto
El equipo del Servicio Digital de Defensa (DDS) del Departamento de Defensa de los Estados Unidos fue pionero en el programa piloto de recompensas Hack the Pentagon con un fuerte apoyo del Secretario de Defensa Ash Carter.
Hack el Pentágono fue el primer programa de recompensas de errores en la historia del Gobierno Federal y se desarrolló desde el 18 de abril hasta el 12 de mayo de 2016 superando todas las expectativas.
El 31 de marzo de 2016, los investigadores interesados comenzaron a registrarse para competir en el desafío piloto "Hack the Pentagon", diseñado para identificar y resolver vulnerabilidades de seguridad en los sitios web públicos del Departamento de Defensa.
Se pagaron recompensas entre $100 y $15,000.
Analizando los datos
El 18 de abril de 2016, Hack the Pentagon abrió la presentación de informes.
El primero llegó en 13 minutos. Seis horas más tarde, ese número creció a casi 200.
Durante el programa piloto, un nuevo informe llegó cada 30 minutos de promedio.
Se registraron más de 1.400 participantes. De ellos, 250 hackers presentaron un informe de vulnerabilidad elegible.
De todas las presentaciones, 138 fueron consideradas como "legítimas, únicas y elegibles para una recompensa" y resueltas.
Los investigadores ganaron $75,000 en recompensas, pagadas por HackerOne al final del programa.
Hack the Army
El 20 de octubre de 2016, DoD anunció un nuevo contrato con HackerOne para extender estos programas a otros departamentos durante tres años.
Hack the Army, el programa de recompensas de errores del gobierno más ambicioso hasta la fecha, fue la primera de estas iniciativas impulsadas por el Secretario del Ejército Eric Fanning.
Poco después del anuncio de Hack the Army, DoD introdujo la Política de Divulgación de Vulnerabilidad (VDP) en HackerOne, aportando una vía legal para revelar vulnerabilidades en cualquier sistema público del Departamento de Defensa.
Esta política es la primera de su tipo para el Gobierno de los Estados Unidos.
El programa VDP ha crecido considerablemente fruto de la divulgación con los investigadores y sus tiempos de respuesta para corregir vulnerabilidades. A través de la participación en conferencias de ciberseguridad, el sitio web de DC3 (Department of Defense Cyber Crime Center) y la difusión proactiva a través de las redes sociales, VDP ha promovido su programa externamente con numerosos investigadores que se unen cada día.
VDP cuenta actualmente con más de 900 investigadores en 45 países que analizan todos los sitios web públicos del DoD, proyectando más de 5.000 informes de vulnerabilidad en 2019.
Recompensas
El programa Hack the Pentagon ha pagado más de $500,000 a los hackers por proteger los servicios y datos sensibles de los sitios web y aplicaciones del DoD.
Hack the Army recibió más de 115 vulnerabilidades válidas y pagó $100,000 en diciembre de 2016.
Hack the Air Force emitió más de 200 informes válidos y los hackers ganaron más de $130,000 por sus contribuciones en abril de 2017.
Hack the Air Force 2.0 recibió más de 100 vulnerabilidades válidas con recompensas de más de $100,000 en diciembre de 2017.
Hack the Defense Travel System anunció más de 100 vulnerabilidades de seguridad reportadas y $80,000 pagados a los hackers en abril de 2018.
El último desafío de recompensa de errores del gobierno federal, Hack the Marine Corps ha recibido más de 150 vulnerabilidades válidas y ha otorgado más de $150,000.
"When it comes to information and technology, the defense establishment usually relies on closed systems. But the more friendly eyes we have on some of our systems and websites, the more gaps we can find, the more vulnerabilities we can fix, and the greater security we can provide to our warfighters."
Las agencias del DOD, los servicios u otras partes interesadas pueden enviar sus consultas a hackthepentagon@dds.mil
Fuentes:
Entradas
No hay comentarios