“Hack DHS”漏洞猎人在 DHS 系统中发现 122 个安全漏洞

美国国土安全部 (DHS) 今天透露，参与其“Hack DHS”漏洞赏金计划的漏洞赏金猎人在外部 DHS 系统中发现了 122 个安全漏洞，其中 27 个被评为严重严重性。

DHS 向 450 多名经过审查的安全研究人员和道德黑客共奖励了 125,600 美元，每个错误的奖励高达 5,000 美元，具体取决于漏洞的严重程度。

“安全研究人员社区在 Hack DHS 第一阶段的热情参与使我们能够在关键漏洞被利用之前发现并修复它们，”国土安全部首席信息官 Eric Hysen 说。

热门文章READ MORERussian hackers are seeking alternativemoney‑laundering options

“随着 Hack DHS 的进展，我们期待进一步加强我们与研究人员社区的关系。”

“Hack DHS”计划建立在美国联邦政府（例如“Hack the Pentagon”计划）和私营部门的类似努力的经验之上。

DHS 于 2019 年启动了第一个漏洞赏金试点计划，比“Hack DHS”早两年，在《 安全技术法案》 签署成为法律之后，要求建立安全漏洞披露政策和赏金计划。

启动为其他政府组织开发模型

“Hack DHS”漏洞赏金计划于 2021 年 12 月宣布。它要求黑客披露他们的发现以及有关漏洞的详细信息、如何利用它以及如何使用它来访问 DHS 系统的数据。

然后，DHS 安全专家会在 48 小时内验证所有报告的安全漏洞，并在 15 天或更长时间内修复，具体取决于漏洞的复杂性。

发布一周后，国土安全 部扩大了“黑客国土安全部”赏金计划的范围， 以允许研究人员追踪受 Log4j 相关漏洞影响的国土安全部系统。

扩大该计划的决定是在 CISA 紧急指令 命令联邦民事执行部门机构在  12 月 23 日之前修补其系统以防止严重的 Log4Shell 错误之后做出的。

 国土安全部部长亚历杭德罗·N·马约卡斯补充说：“各种规模和各个部门的组织，包括国土安全部等联邦机构，都必须保持警惕并采取措施加强其网络安全 。”

“Hack DHS 强调了我们部门以身作则并保护我们国家的网络和基础设施免受不断演变的网络安全威胁的承诺。”