美国国土安全部(DHS)今天透露,参加Hack DHS漏洞赏金计划的猎人们在国土安全部的外部系统中发现了122个安全漏洞,其中27个被评为关键严重程度。
国土安全部向450多名经过审查的安全研究人员和道德黑客颁发了总额为125,600美元的奖金。奖金的金额大小将根据漏洞的严重程度来制定,每个漏洞的奖励金额最高为5000美元。
国土安全部首席信息官Eric Hysen说:"安全研究人员在Hack DHS行动第一阶段的积极参与,使得我们能够在关键漏洞被利用之前找到这些漏洞,并将其进行补救。"
"随着Hack DHS的进展,我们期待与研究人员的关系进一步加强。"
Hack DHS赏金计划的建立,依靠的经验主要来源于美国联邦政府(如"黑客五角大楼"计划)和私营部门类似的计划。
国土安全部在2019年推出了第一个漏洞赏金试点计划。这个计划比Hack DHS早两年,在《安全技术法案》签署成为法律之后落实。计划要求建立安全漏洞披露政策和赏金计划。
赏金计划的目的是为其他政府组织制定一个模式
Hack DHS漏洞赏金计划于2021年12月宣布。它要求黑客披露他们的发现,同时提供关于漏洞的详细信息,如何利用它,以及如何利用它来访问数据DHS系统。
然后,所有报告的安全缺陷将在48小时内由国土安全部的安全专家进行核实,并根据漏洞的复杂性在15天或更长时间内进行修复。
启动一周后,国土安全部扩大了Hack DHS赏金计划的范围,允许研究人员追踪受Log4j相关漏洞影响的国土安全部系统。
CISA紧急指令发出后,DHS决定扩大该计划。该指令命令联邦民事行政部门机构在12月23日之前为其系统打上关键的Log4Shell漏洞补丁。
国土安全部部长Alejandro N. Mayorkas补充说:"各种规模和各个部门的组织,包括像国土安全部这样的联邦机构,都必须保持警惕,并采取措施加强其网络安全。"
"Hack DHS强调了我们部门的承诺,即以身作则,保护我们国家的网络和基础设施免受不断变化的网络安全威胁。"
