【舉報易賞錢】Hack DHS計劃推出半年 白帽黑客助美國國土安全部堵塞27個極嚴重漏洞
美國國土安全部 (The Department of Homeland Security) 去年啟動 Hack DHS 賞金獵人計劃,以賞金邀請有能之士找到系統的安全盲點。計劃執行近半年,DHS 方面公布已堵塞 122 個安全漏洞,當中有 27 個屬極危險級別,而整體只發放了 12.5 萬美元獎金,可見這類賞金獵人計劃的性價比極高。
針對他國發動網絡攻擊,藉此窒礙敵國的經濟發展或刺探政治軍事機密,有時比起派間諜執行更有效率。作為全球最大影響力的美國政府,單在去年已多次指控俄羅斯政府放任黑客集團攻擊,對美國市民造成能源短缺、大量企業受到勒索軟件攻擊等後果。而為了加強國家網絡安全防禦力,美國聯邦政府曾發出行政指令,要求各政府機關盡快堵塞系統漏洞,並發出指引要求各部門執行。
不過,要找出系統漏洞,單靠部門內的專家未必可行,最有效率的方法是邀請外人調查,過程才能做到不偏不倚,探查能力甚至會更大。有見及此,美國國土安全部便於 2019 年開始其首個賞金獵人先導計劃,並在去年 12 月正式成立 Hack DHS 計劃,邀請業內專家及白帽黑客向他們舉報漏洞及其利用方法,一旦獲部門專家確認,便會向對方發放相應的獎金。根據計劃內容所示,視乎漏洞的嚴重性,每一個漏洞的獎金最高可達 5,000 元,而在計劃執行約半年間,美國國土安全部公布已接獲及驗證了上述漏洞,並已向 450 人次舉報者發放合共 12.5 萬美元賞金。
官方解釋 Hack DHS 計劃的原意是透過專家盡早發現系統內潛在的漏洞,希望能在被利用前搶先堵塞。而為了達成這目標,美國國土安全部在接獲舉報後,必須在 48 小時內驗證其真實性,而且必須根據它的複雜性,在 15 日或以內堵塞漏洞。這種做法雖然未必能完全阻止入侵,但至少可減少一定程度的攻擊,避免造成嚴重的損失。
相關文章:【搵錢捷徑】HackerOne首席賞金獵人 334日獲取100萬美元酬勞
https://www.wepro180.com/20210102_hackerone-2/