Благодаря акции «Хакни Армию» на сайтах американского министерства обороны 400 раз найдены уязвимости

Благодаря акции «Хакни Армию» на сайтах американского министерства обороны 400 раз найдены уязвимости

В проекте Минобороны США «Хакни Армию», стартовавшем в декабре 2016 года, приняли участие 371 человек, которые представили 416 отчётов об уязвимостях сайтов армии США, сообщает компания HackerOne, оказывавшая содействие в проведении конкурса.

Как говорится в отчете, 179 участников (из них 25 – госслужащие, включая 17 военнослужащих) обнаружили хотя бы один баг, 118 из багов оказались незакрытыми уязвимостями. Первый отчёт поступил через 5 минут после старта конкурса. За нахождение дыр в безопасности «белым» хакерам будет выплачено в общей сложности около 100 тысяч долларов.

Самая серьезная уязвимость
Самым опасным багом, обнаруженным в процессе акции, оказалась серия уязвимостей, связанных между собой. Участник смог перейти с публичного рекрутингового сайта goarmy.com на внутренний сайт Минобороны США, требующий специальные полномочия для доступа. Хакер зашел на него через прокси-сервер, не закрывший доступ надлежащим образом. Уязвимости, по отдельности не слишком серьезные, в комбинации оказались весьма опасными.

Стандартная процедура проверки уязвимостей не помогла бы раскрыть эту связь, отмечается в отчёте.

Напомним, проект «Хакни Армию» стартовал через несколько месяцев после того, как Минобороны США провело свою первую программу «Хакни Пентагон». В ней приняло участие более 1,4 тысячи хакеров; 250 участников прислали хотя бы один отчет о найденных багах (всего более тысячи отчетов), 138 из них было признано заслуживающим вознаграждения. Всего на программу было потрачено 150 тысяч долларов.

В отличие от Пентагона, допустившего хакеров лишь до сайтов со статической информацией, армия предоставила участникам программы доступ к своим сайтам, включая ресурсы для онлайн-рекрутинга, содержащие динамические данные. Это персональные данные потенциальных новобранцев, защитить которые особенно важно и которые связаны с основными операциями армии. Также новшеством стал допуск к конкурсу госслужащих и военных.

Print Friendly
Условия использования
При цитировании и использовании любых материалов ссылка на сайт Экспертного центра электронного государства d-russia.ru обязательна.
Партнеры