DoD testa programa de recompensas de bugs

DoD testa programa de recompensas de bugs. O Departamento de Defesa está pilotando um programa pago de recompensas por bugs que termina hoje, julho de 2022

O Chief Digital and Artificial Intelligence Office Directorate for Digital Services e o Department of Defense Cyber ​​Crime Center (DC3) esta semana estão testando recompensas monetárias para hackers éticos que fornecem informações críticas e de alta gravidade de vulnerabilidade ao Programa de Divulgação de Vulnerabilidades do DoD.

De 4 a 11 de julho, apenas descobertas de gravidade alta e crítica são elegíveis para uma recompensa em qualquer sistema de informação acessível ao público, propriedade da web ou dados de propriedade, operados ou controlados pelo DoD. Não há informações da continuidade do programa após 11 de julho.

O pool de recompensas para este programa foi definido em US$ 110.000. Pagamentos monetários individuais serão concedidos em US$ 1.000 para relatórios de gravidade crítica, US$ 500 para relatórios de alta gravidade e categorias de especialidade adicionais receberão US$ 3.000

Dado o cenário de ameaças, muitas organizações estão acessando a comunidade de milhões de hackers de boa fé em todo o mundo que são qualificados, prontos e dispostos a ajudar, disse Casey Ellis, fundador e CTO da Bugcrowd. Ellis disse que o DoD vem executando um programa de divulgação de vulnerabilidades há muitos anos com grande diligência e sucesso, então vê-los “atualizar” isso para um programa pago de recompensas de bugs faz muito sentido.

Há uma tonelada de tecnologia já implantada, nossa taxa de implantação de novas tecnologias só aumenta e acelera, e os adversários que enfrentamos continuam a ficar mais habilidosos, mais agressivos e mais diversificados”, disse Ellis. “Certamente existem soluções de tecnologia de segurança que continuam a ser inventadas e usadas, mas no final do dia a cibersegurança é um problema fundamentalmente humano – portanto, os humanos também – e provavelmente cada vez mais – terão um papel importante a desempenhar na defesa da Internet.

Embora os programas de recompensas por bugs não sejam perfeitos, eles ajudam, dando aos pesquisadores algum incentivo para caçar falhas, sabendo que podem ser recompensados ​​por seus esforços com mais do que apenas o direito de se gabar, disse Mike Parkin, engenheiro técnico sênior da Vulcan Cyber.

Com a enorme complexidade do código moderno e as inúmeras interações entre aplicativos, é vital ter olhos mais responsáveis ​​procurando por falhas”, disse Parkin. “Sabemos que os agentes de ameaças estão fazendo isso para encontrar explorações que possam aproveitar. Pesquisadores honestos também devem ter algum tipo de incentivo. É preciso um certo nível de maturidade do aplicativo para poder oferecer recompensas por bugs, e nem todas as empresas chegaram a esse ponto. Aqueles que tendem a ser grandes, com uma grande base de instalação e um modelo de desenvolvimento maduro que pode aproveitar os recursos independentes externos que as recompensas de bugs incentivam.”

Fonte SC Magazine

Veja também:

Sobre mindsecblog 1781 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!