A “Hack the Pentagon” – program által 138 sérülékenységet találtak

Az amerikai kormány és a védelmi minisztérium közösen indították el a “Hack the Pentagon”, pénzdíjas hibakereső programot. Az első alkalommal megtartott esemény április 18. és május 12. között zajlott le, amely során 5 weboldal támadhatóságát tesztelték (defense.gov, dodlive.mil, dvidshub.net, myafn.net és dimoc.mil).

A program célja, hogy az amatőröket és a civileket bevonva teszteljék az említett oldalak feltörhetőségét. A leggyakoribb sérülékenység típusok a Cross-Site Scripting (XSS), az Information Disclosure és a Cross-Site-Request-Forgery (CSRF) voltak.

A program eredményei számokban:

  • Összes regisztrált résztvevő: 1410
  • Összes beküldött jelentés: 1189
  • Egyedi érvényes jelentések: 138
  • Átlagos pénzdíj összege: 588 $
  • Összesen kifizett jutalom összege: 71.200 $

Ashton Carter, az amerikai védelmi miniszter, a záró ünnepségen elmondottak szerint elégedett volt az eredményekkel. Úgy vélte, hogy egy ilyen mértékű biztonsági felülvizsgálat költsége akár az 1 millió dollárt is elérhette volna, amennyiben egy biztonsági cég csinálja azt. Az eredményeket annyira meggyőzőnek találták, hogy jelenleg már azon dolgoznak, hogy más intézményekre is kiterjeszthessék a programot.

Hivatkozások:


Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »