Армия США предлагает «белым» хакерам заработать на взломе своих сайтов

49

Через несколько месяцев после того, как Минобороны США провело свою первую программу «Хакни Пентагон», Армия США совместно со службой цифровой защиты объявили о старте аналогичного проекта — «Хакни Армию», сообщает компания HackerOne, оказывающая содействие в проведении конкурса.

«Эксперимент, проведенный Пентагоном, доказал, что существует огромное количество технических специалистов и инноваторов, желающих внести свой вклад в дело безопасности нашей нации, но не имеющих прямой возможности для этого», — сказал министр армии США Эрик Фэннинг (Eric Fanning), представляя инициативу 11 ноября.

Премии за обнаруженные уязвимости в программном обеспечении (bug bounty — букв. «награда за баги» — ред.) позволяют «белым» хакерам помочь ИБ-специалистам госструктур укрепить свою защиту, добавил он. К программе будут допущены не только гражданские лица, но и военнослужащие.

В рамках программы, которая стартует через несколько недель, армия предоставит хакерам доступ к своим сайтам, включая ресурсы для онлайн-рекрутинга, содержащие динамические данные (Пентагон допустил хакеров лишь до сайтов со статической информацией). Это персональные данные потенциальных новобранцев, защитить которые особенно важно и которые связаны с основными операциями армии, отметил Фэннинг.

Напомним, программа по поиску уязвимостей в публичных сетях Минобороны «Хакни Пентагон» проходила с 18 апреля по 12 мая 2016 года. В ней приняло участие более 1,4 тысячи хакеров; 250 участников прислали хотя бы один отчет о найденных багах (всего более тысячи отчетов), 138 из них было признано заслуживающим вознаграждения. Участники конкурса получили от 100 долларов до 15 тысяч долларов, в зависимости от критичности найденной уязвимости. Всего на программу было потрачено 150 тысяч долларов. Та же работа с наймом подрядчиков из компаний по информационной безопасности стоила бы не меньше одного миллиона долларов.

Подобный метод поиска уязвимостей широко практикуется среди коммерческих IT-компаний. Например, в марте компания Uber объявила, что обязуется заплатить до 10 тысяч долларов «дружественным» хакерам за нахождение возможных ошибок в сайтах и приложениях компании.

В апреле 2015 года Microsoft пригласила желающих отыскать уязвимости в ее новом браузере, носившем тогда имя Spartan; приз за нахождение бага — от 500 долларов до 15 тысяч долларов — в зависимости от значимости «находки». В июне 2015 Tesla Motors запустила программу, в которой предложила вознаграждение от 25 до 1000 долларов за найденные уязвимости на сайте компании. За месяц награду получили 27 человек.