据美国国土安全部(DHS)近日透露,加入“HackDHS”漏洞赏金计划的赏金猎人已经有122个在国土安全部的外部系统中发现了安全漏洞,其中27个被评估为严重。美国国土安全部已向450多名经过审查的安全研究人员和道德黑客颁发了总计125,600美元的奖金。个人的赏金取决于他发现的错误的严重程度,每个错误最高可达5,000美元。DHS首席信息官(CIO)埃里克·海森(EricHysen)告诉媒体:“安全研究人员在‘HackDHS’第一阶段的热情参与使我们能够在关键漏洞被利用之前找到并修复它们。”随着‘HackDHS’项目的推进,我们期待进一步加强与研究界的联系和合作。”“HackDHS”项目的建立借鉴了美国联邦政府和私营部门类似努力的经验,比如“黑掉五角大楼”(HackthePentagon)项目。实际上,国土安全部在2019年首次启动了漏洞赏金试点计划,比“黑掉国土安全部”早了两年。当时,《安全技术法案》(SECURETechnologyAct)正式签署成为法律,要求政府机构制定安全漏洞披露政策和赏金计划。为了给其他政府机构树立榜样,“HackDHS”漏洞赏金项目于2021年12月成立。该项目需要黑客披露他们发现的漏洞和漏洞的详细信息。例如,漏洞如何被利用,以及如何利用它来获取数据a在DHS系统上。所有报告的安全漏洞将在48小时内由DHS安全专家进行验证,并在15天内(有时更长时间)修复,具体取决于漏洞的复杂性。“HackDHS”计划启动一周后,国土安全部扩大了赏金范围,允许研究人员跟踪受Log4j相关漏洞影响的DHS系统。此前,美国网络安全和基础设施安全局(CISA)发布了一项紧急指令,要求联邦民政部门在12月23日之前修补他们自己的系统,以应对严重的Log4Shell漏洞。作为回应,国土安全部部长亚历杭德罗·N·马约卡斯(AlejandroN.Mayorkas)表示:“各种规模和行业的组织,包括国土安全部等联邦机构,都应保持警惕,并采取措施加强其网络安全。而“HackDHS”项目证明了我们部门在保护我们国家的网络和基础设施免受威胁方面以身作则的承诺。》参考来源:https://www.bleepingcomputer.com/news/security/hack-dhs-bug-hunters-find-122-security-flaws-in-dhs-systems/
