Los hackers de sombrero blanco descubrieron casi 350 vulnerabilidades dentro de las redes del Departamento de Defensa durante un programa de recompensas de una semana que se llevó a cabo a principios de este año, según los organizadores de la iniciativa.
Casi 270 investigadores participaron en el esfuerzo, llamado “Hack US” , que ofreció recompensas financieras por detectar vulnerabilidades críticas y de alto nivel en los sistemas operados por el Pentágono.
Los competidores enviaron 648 informes, dentro del alcance del programa de divulgación de vulnerabilidades (VDP) del Departamento de Defensa , a la plataforma de recompensas HackerOne y a las agencias del departamento que supervisan el programa piloto entre el 4 y el 11 de julio. $75,000 en recompensas totales y otros $35,000 en bonos y premios.
“En solo siete días, los hackers éticos de Hack US presentaron 648 informes, incluidos numerosos que se considerarían críticos si no hubieran sido identificados y remediados durante este desafío de recompensas por vulnerabilidades”, dijo Melissa Vice, directora de VDP, en un comunicado.
“Este desafío de recompensas muestra el valor adicional que podemos ganar al aprovechar su experiencia en la materia de manera incentivada”, agregó.
El departamento lanzó su primera recompensa por vulnerabilidades, denominada “Hack the Pentagon”, en 2016. Desde entonces, la práctica ha proliferado para incluir partes específicas de los diversos sistemas del Departamento de Defensa, las ramas militares y el Departamento de Seguridad Nacional .
Vice dijo que una evaluación inicial de los resultados del programa encontró que la vulnerabilidad más comúnmente identificada se clasificó como ” divulgación de información “.
“Con la identificación de tendencias de vulnerabilidad, podemos buscar patrones de detección y, en última instancia, crear nuevos procesos y verificaciones del sistema para asegurarnos de abordar la causa raíz y desarrollar más mitigaciones contra actores maliciosos que podrían intentar explotar nuestros sistemas”, dijo.
Otras vulnerabilidades principales descubiertas a través del esfuerzo incluyeron el acceso inadecuado y la inyección SQL genérica.
“Tenemos que asegurarnos de estar dos pasos por delante de cualquier actor malicioso”, dijo Katie Olson Savage, subdirectora de inteligencia artificial y digital y directora del Servicio Digital de Defensa, en un comunicado. “Este enfoque de seguridad colaborativo es un paso clave para identificar y cerrar posibles brechas en nuestra superficie de ataque”.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.