Hack the Pentagon, caccia al bug con ricompensa
Il Dipartimento della Difesa degli Stati Uniti d’America ha deciso di espandere il programma Hack the Pentagon, che prevede la partecipazione del pubblico in una “caccia al bug” con una ricompensa monetaria per coloro i quali individuano e comunicano eventuali vulnerabilità presenti sui sistemi informativi del DoD.
Il programma Hack the Pentagon è stato lanciato, inizialmente come progetto pilota, nel periodo tra il 18 aprile e il 12 maggio mostrando sin da subito una certa efficacia, con il primo bug che è stato portato all’attenzione del DoD (Department of Defense) appena 13 minuti dopo il lancio dell’iniziativa.
Nella fase pilota i partecipanti hanno potuto esercitare le proprie capacità di hacker solamente su cinque siti web del Dipartimento della Difesa, che pensa ora di estendere l’iniziativa trsformandola in un programma permanente che possa raccogliere report di vulnerabilità su un maggior numero di siti e sistemi.
Hack the Pentagon è la prima iniziativa messa in campo dal governo USA per coinvolgere e ricompensare il pubblico nell’individuazione di quei bug che se non opportunamente risolti potrebbero essere sfruttati dai criminali per penetrare nei sistemi informativi della Difesa USA.
“Il programma pilota è stato un successo, ma ha messo alla prova il concetto della crowdsourced security solamente per siti web aperti al pubblico. Crediamo che questo concetto possa avere successo anche se applicato ad altre sfide che il Dipartimento si trova ad affrontare nel campo della sicurezza” ha commentato un portavoce del DoD.
Hack the Pentagon è stato gestito tramite la piattaforma HackerOne, la quale afferma che il programma pilota ha permesso di generare 138 segnalazioni di bug univoche per un totale di oltre 71 mila dollari di ricompense corrisposte a coloro i quali hanno individuato le vulnerabilità. Tra i partecipanti al programma vi è anche David Dworken, un ragazzo che ha da poco terminato gli studi delle scuole superiori, che ha reso noti 22 bug al Dipartimento della Difesa.
Intanto il DoD sta impegnandosi su tre fronti per rafforzare il programma: sviluppare un processo di comunicazione delle vulnerabilità, espandere il programma di “caccia al bug” e aggiungere incentivi per i contrattisti del Dipartimento affinché sia possibile effettuare test anche sui loro sistemi. (fonte)
