Через несколько месяцев после того, как Минобороны США провело свою первую программу «Хакни Пентагон», Армия США совместно со службой цифровой защиты объявили о старте аналогичного проекта — «Хакни Армию», сообщает компания HackerOne, оказывающая содействие в проведении конкурса.
«Эксперимент, проведенный Пентагоном, доказал, что существует огромное количество технических специалистов и инноваторов, желающих внести свой вклад в дело безопасности нашей нации, но не имеющих прямой возможности для этого», — сказал министр армии США Эрик Фэннинг (Eric Fanning), представляя инициативу 11 ноября.
Премии за обнаруженные уязвимости в программном обеспечении (bug bounty — букв. «награда за баги» — ред.) позволяют «белым» хакерам помочь ИБ-специалистам госструктур укрепить свою защиту, добавил он. К программе будут допущены не только гражданские лица, но и военнослужащие.
В рамках программы, которая стартует через несколько недель, армия предоставит хакерам доступ к своим сайтам, включая ресурсы для онлайн-рекрутинга, содержащие динамические данные (Пентагон допустил хакеров лишь до сайтов со статической информацией). Это персональные данные потенциальных новобранцев, защитить которые особенно важно и которые связаны с основными операциями армии, отметил Фэннинг.
Напомним, программа по поиску уязвимостей в публичных сетях Минобороны «Хакни Пентагон» проходила с 18 апреля по 12 мая 2016 года. В ней приняло участие более 1,4 тысячи хакеров; 250 участников прислали хотя бы один отчет о найденных багах (всего более тысячи отчетов), 138 из них было признано заслуживающим вознаграждения. Участники конкурса получили от 100 долларов до 15 тысяч долларов, в зависимости от критичности найденной уязвимости. Всего на программу было потрачено 150 тысяч долларов. Та же работа с наймом подрядчиков из компаний по информационной безопасности стоила бы не меньше одного миллиона долларов.
Подобный метод поиска уязвимостей широко практикуется среди коммерческих IT-компаний. Например, в марте компания Uber объявила, что обязуется заплатить до 10 тысяч долларов «дружественным» хакерам за нахождение возможных ошибок в сайтах и приложениях компании.
В апреле 2015 года Microsoft пригласила желающих отыскать уязвимости в ее новом браузере, носившем тогда имя Spartan; приз за нахождение бага — от 500 долларов до 15 тысяч долларов — в зависимости от значимости «находки». В июне 2015 Tesla Motors запустила программу, в которой предложила вознаграждение от 25 до 1000 долларов за найденные уязвимости на сайте компании. За месяц награду получили 27 человек.
