美国“黑了空军”众测项目发现漏洞 进入国防部网络

2017-12-21 11:50:54 nana 安全牛

本月早些时候,“黑了空军 2.0”漏洞奖励项目启动,参与项目的黑客发现入侵美国国防部的关键漏洞。



12月9日,纽约富尔顿中心拉开了“黑了空军 2.0”的帷幕。活动中,两名研究人员演示了如何透过空军网站漏洞,入侵国防部网络,并赢得了10,650美元。这是美国政府举办的所有漏洞奖励项目中,有史以来最高单笔奖金数额。


7名美国空军人员和25名平民白帽黑客,发现了55个漏洞,共获得26,883美元奖金。


“黑了空军2.0”将持续到2018年1月1日,五眼联盟(美国、英国、澳大利亚、加拿大和新西兰)、北约成员国或瑞典的公民/长期居民,均可申请参加。也就是说,31个国家的人可以参与该项目——迄今为止最为开放的政府漏洞奖励项目。美国军方人员也可以参加,但没有获得奖金的资格。


尽管理论上这些国家的任何人都可以申请,却也不是每名申请者都能实际参与进来。名额只有600个,空军将根据申请者的HackerOne信誉评分选取70%的参加者,另外30%则随机选出。


空军CISO皮特·金称:“‘黑了空军’可以拓展我们的视野,让我们得以利用国家和盟友国的大量人才,巩固我们的国防。通过开放约300个面向公众的空军网站,我们大幅延伸了1.0版漏洞奖励项目的巨大成功。该合作关系的成本收益是无价的。”


“黑了空军2.0”是空军首个漏洞奖励项目成功的延续,首版项目为200多个有效漏洞报告,发出了13万美元的奖励。


美国国防部之前举办过的漏洞奖励计划包括:“黑了国防部”——付出奖金约7.5万美元;“黑掉陆军”——奖金总数约10万美元。国防部已经为其公开系统中发现的3000多个漏洞,付出了30多万美元的奖金。但该部门估测,漏洞奖励项目为其省去了数百万美元的损失。


大约在1年之前,国防部发布了一份漏洞揭露政策,旨在规范研究人员对该部门公开网站安全漏洞的揭露方式。虽然美元提供任何金钱奖励,该政策还是为漏洞报告铺开了合法道路。


相关阅读

“黑掉空军”发现207个漏洞 发放13万美元奖金

美国国防部向黑客开放 数千漏洞被修复 

白宫发布漏洞披露政策 十大部门形成审查委员会