Digital

Bounty de bug de segurança interna revela um grande número de falhas

O resultado de um programa de recompensa de insetos para o Departamento de Segurança Interna (DHS) foi revelado, e não é particularmente encorajador notícias para uma agência governamental sinônimo de segurança cibernética.

Os participantes do primeiro programa de recompensas de insetos do DHS, chamado “Hack DHS”, confirmaram que encontraram um número preocupante de bugs de segurança.

Eles descobriram um total de 122 vulnerabilidades de segurança em sistemas DHS externos, de acordo com o computador de registro e biping. Vinte e sete insetos foram reconhecidos como falhas de “gravidade crítica”.

A iniciativa Hack DHS viu mais de 450 pesquisadores de segurança participarem do programa. Por seus esforços, a agência governamental pagou uma recompensa total de US $ 125.600 distribuídos entre os hackers éticos.

Conforme destacado apropriadamente pelo registro, o número de pagamento acima mencionado empalidece em comparação com o que outras organizações pagam aos caçadores de recompensas.

Por exemplo, a Intel já havia oferecido até US $ 100.000 para descobrir com sucesso vulnerabilidades específicas.

Outros gigantes da tecnologia como a Microsoft oferecem 10s de milhares de dólares para encontrar falhas, enquanto a Apple pagou a um único indivíduo quase a totalidade da recompensa do Hack DHS, dando -lhe US $ 100.000 por invadir um Mac.

Enquanto isso, o Google concedeu quase US $ 30 milhões a indivíduos matriculados em seus próprios programas de recompensa de insetos. Em um caso em particular, a empresa deu um hacker adolescente autodidata US $ 36.000 por relatar um certo bug.

Considerando o fato de que uma das principais responsabilidades do Departamento de Segurança Interna envolve a segurança cibernética, muitos podem se preocupar compreensivelmente que uma quantidade tão alta de bugs de segurança foram encontrados em primeiro lugar. Além disso, os níveis de pagamento um tanto sem brilho associados ao Hack DHS podem ser um potencial impedimento para futuras partes interessadas.

Tudo considerado, parece que o DHS não é tão seguro quanto muitos americanos esperariam que fosse.

A busca da segurança interna de se tornar mais segura

O Hack DHS foi originalmente introduzido em dezembro de 2021. Qualquer hacker que ingressou no programa teria que fornecer um detalhamento abrangente de qualquer vulnerabilidade que encontrar. Eles também precisam detalhar como essa falha pode ser direcionada e explorada por possíveis atores de ameaças, além de explicar como ela pode ser especificamente utilizada para acessar e extrair dados dos sistemas DHS.

Uma vez que esses defeitos de segurança são colocados em um processo de verificação por “especialistas em segurança do DHS”, que leva 48 horas para analisar após a detecção e submetida um bug, elas geralmente são corrigidas em 15 dias ou mais. Em alguns casos, leva a agência governamental mais de meio mês para corrigir as falhas mais complexas.

O programa de recompensa de bugs da agência governamental será conduzido por meio de um lançamento em camadas composto por três etapas. A primeira fase, os pagamentos, foi concluída, enquanto o próximo segundo estágio verá os pesquisadores de segurança escolhidos a dedo pelo DHS participando de um evento de hackers ao vivo.

O SEGREDO para encontrar FALHAS CRÍTICAS no Bug Bounty
Quanto à fase final, o Registro relata que o DHS compartilhará informações que espera influenciar programas adicionais de recompensa de insetos.

A popularidade dos programas de recompensa de insetos está cada vez mais se tornando mais proeminente em uma época em que os cibercriminosos estão intensificando suas tentativas de se infiltrar nas principais empresas, especialmente no espaço tecnológico.

Por exemplo, a Intel revelou o disjuntor do projeto, uma expansão para seu programa de recompensa de insetos que foi introduzido para recrutar “Elite Hackers”. O Google também atualizou seu programa de recompensa de vulnerabilidade no ano passado, lançando uma nova plataforma de bug.

Em outros lugares, o Google confirmou recentemente que um número recorde de explorações perigosas de zero dias foi identificado em 2021, enquanto os crimes cibernéticos são mais difundidos do que nunca.