本月早些時(shí)候,“黑了空軍 2.0”漏洞獎(jiǎng)勵(lì)項(xiàng)目啟動(dòng),參與項(xiàng)目的黑客發(fā)現(xiàn)入侵美國國防部的關(guān)鍵漏洞。
12月9日,紐約富爾頓中心拉開了“黑了空軍 2.0”的帷幕?;顒?dòng)中,兩名研究人員演示了如何透過空軍網(wǎng)站漏洞,入侵國防部網(wǎng)絡(luò),并贏得了10,650美元。這是美國政府舉辦的所有漏洞獎(jiǎng)勵(lì)項(xiàng)目中,有史以來最高單筆獎(jiǎng)金數(shù)額。
7名美國空軍人員和25名平民白帽黑客,發(fā)現(xiàn)了55個(gè)漏洞,共獲得26,883美元獎(jiǎng)金。
“黑了空軍2.0”將持續(xù)到2018年1月1日,五眼聯(lián)盟(美國、英國、澳大利亞、加拿大和新西蘭)、北約成員國或瑞典的公民/長(zhǎng)期居民,均可申請(qǐng)參加。也就是說,31個(gè)國家的人可以參與該項(xiàng)目——迄今為止最為開放的政府漏洞獎(jiǎng)勵(lì)項(xiàng)目。美國軍方人員也可以參加,但沒有獲得獎(jiǎng)金的資格。
盡管理論上這些國家的任何人都可以申請(qǐng),卻也不是每名申請(qǐng)者都能實(shí)際參與進(jìn)來。名額只有600個(gè),空軍將根據(jù)申請(qǐng)者的HackerOne信譽(yù)評(píng)分選取70%的參加者,另外30%則隨機(jī)選出。
空軍CISO皮特·金稱:“‘黑了空軍’可以拓展我們的視野,讓我們得以利用國家和盟友國的大量人才,鞏固我們的國防。通過開放約300個(gè)面向公眾的空軍網(wǎng)站,我們大幅延伸了1.0版漏洞獎(jiǎng)勵(lì)項(xiàng)目的巨大成功。該合作關(guān)系的成本收益是無價(jià)的。”
“黑了空軍2.0”是空軍首個(gè)漏洞獎(jiǎng)勵(lì)項(xiàng)目成功的延續(xù),首版項(xiàng)目為200多個(gè)有效漏洞報(bào)告,發(fā)出了13萬美元的獎(jiǎng)勵(lì)。
美國國防部之前舉辦過的漏洞獎(jiǎng)勵(lì)計(jì)劃包括:“黑了國防部”——付出獎(jiǎng)金約7.5萬美元;“黑掉陸軍”——獎(jiǎng)金總數(shù)約10萬美元。國防部已經(jīng)為其公開系統(tǒng)中發(fā)現(xiàn)的3000多個(gè)漏洞,付出了30多萬美元的獎(jiǎng)金。但該部門估測(cè),漏洞獎(jiǎng)勵(lì)項(xiàng)目為其省去了數(shù)百萬美元的損失。
大約在1年之前,國防部發(fā)布了一份漏洞揭露政策,旨在規(guī)范研究人員對(duì)該部門公開網(wǎng)站安全漏洞的揭露方式。雖然美元提供任何金錢獎(jiǎng)勵(lì),該政策還是為漏洞報(bào)告鋪開了合法道路。