El Departamento de Defensa de EE. UU. ha creado un amplio pero breve programa de recompensas para informes de vulnerabilidades en sistemas y aplicaciones públicas.
El programa Hack US comenzó el Día de la Independencia y está programado para ejecutarse hasta el 11 de julio, con recompensas totales reflejadas por la gravedad de las fallas.
El Departamento de Defensa ha asignado hasta $110,000 para la búsqueda de exploits. Los puntos de vulnerabilidad pueden generar $ 500 o más por vulnerabilidades de alta gravedad, y las vulnerabilidades críticas valen al menos $ 1,000 con hasta $ 5,000 reservados para premios particulares, como $ 3,000 por el mejor hallazgo para * .army.mil.
La iniciativa se ejecuta con HackerOne, que se asoció con el Departamento de Defensa para operar un programa piloto de 12 meses que finalizó en abril. Hack US agrega recompensas monetarias.
“Este programa ampliado tiene como objetivo brindar a los investigadores de seguridad los términos y condiciones para realizar actividades de descubrimiento de vulnerabilidades dirigidas a los sistemas de información del Departamento de Defensa (DoD) de acceso público, incluidas las propiedades web, y enviar las vulnerabilidades descubiertas al DoD”, escribió el departamento en su esquema del programa. .
Los programas de recompensas por vulnerabilidades se están volviendo populares entre las corporaciones privadas y las agencias públicas como otra herramienta para reforzar las defensas de seguridad en un momento en que las amenazas están creciendo en número y sofisticación.
El programa piloto del Departamento de Defensa que finalizó en abril, el Programa de divulgación de vulnerabilidades de base industrial de defensa (DIB-VDP), se lanzó con 14 empresas participantes voluntarias y 141 activos bajo el microscopio, pero el interés en el programa convenció a la agencia de expandirlo para incluir 41 empresas y 348 activos. En total, 288 investigadores de HackerOne presentaron 1015 informes, de los cuales 401 se consideraron procesables para la remediación.
El nuevo programa está a cargo de la Oficina Principal de Inteligencia Artificial y Digital (CDAO), la Dirección de Servicios Digitales y el Centro de Delitos Cibernéticos del Departamento de Defensa (DC3) junto con HackerOne. Según el Departamento de Defensa, del dinero total de la recompensa, $ 75,000 se repartirán según el primero que se envíe y se otorgue primero. Los otros $ 35,000 están etiquetados para premios especiales de vulnerabilidad, como Mejor hallazgo en el evento Hack US y mejores hallazgos en dominios en ramas como el Ejército, la Armada, la Fuerza Aérea, la Infantería de Marina, la Fuerza Espacial y la Guardia Costera.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.