据美国国土安全部(DHS)近日透露,加入“Hack DHS”漏洞赏金项目(bug bounty program)的赏金猎人已经在国土安全部的外部系统中发现了122个安全漏洞,其中27个被评估为严重漏洞。
据悉,国土安全部已向450多名经审查的安全研究人员和道德黑客发放了总计125,600美元的奖金。个人获得奖金的多少取决于他发现的漏洞的严重程度,每个漏洞最多可获得5,000美元的奖励。
“在‘Hack DHS’的之一阶段,安全研究人员们的热情参与使我们能够在关键漏洞被利用之前找到并修复它们”,国土安全部首席信息官(CIO)Eric Hysen对媒体表示道,“随着‘Hack DHS’项目的进展,我们期待进一步加强我们与研究人员群体的联系与合作。”
“Hack DHS”项目的建立借鉴了美国联邦 *** 和私营部门类似成果的经验,比如“黑掉五角大楼”(Hack the Pentagon)项目。
事实上,国土安全部之一次推出漏洞赏金试点项目是在2019年,这比“Hack DHS”还要早两年。当时,《安全技术法案》(SECURE Technology Act)正式签署成为法律,要求 *** 组织建立安全漏洞披露政策和赏金项目。
“Hack DHS” 漏洞赏金项目成立于2021年12月。项目要求黑客们披露自己发现的漏洞以及漏洞相关的详细信息。例如,如何利用该漏洞,以及如何利用该漏洞访问国土安全部系统的数据。
所有报告的安全漏洞将在48小时内由国土安全部安全专家进行验证,并在15天内(有时需要更长时间)完成内修复,具体时间取决于漏洞的复杂性。
在“Hack DHS”项目启动一周后,国土安全部扩大了赏金的范围,允许研究人员追踪受 Log4j 相关漏洞影响的国土安全部系统。此前,美国 *** 安全和基础设施安全局(CISA)发布了一项紧急指令,要求联邦民事行政部门在12月23日前为自身的系统打补丁,以应对严重的Log4Shell漏洞。
对此,国土安全部部长Alejandro N. Mayorkas表示:“包括国土安全部等联邦机构在内的各规模各部门的组织都应该保持警惕并采取措施加强其 *** 安全。而‘Hack DHS’项目正是兑现了我们部门以身作则,保护国家 *** 和基础设施免受威胁的承诺。”
转自 FreeBuf,原文链接:https://www.freebuf.com/news/331076.html
封面来源于 *** ,如有侵权请联系删除
截至当地时间4月22日,因遭到国际黑客攻击,哥斯达黎加部分政府公共服务网络仍处于关闭状态。哥斯达黎加总统阿尔瓦拉多此前一天对此表示谴责。他表示,哥斯达黎加不会向国际黑客组织妥协,目前有关部门正在加紧网络管理技术升级,加固网络安全,同时评估泄漏数据的规模和损失,与国际组织和公司合作,加紧恢复受损系统。...
Facebook动态消息(News Feed)因为存在重大排序错误,过去6个月一直推送“糟糕”内容。由于排序算法存在漏洞,动态消息抬高了虚假、暴力信息的权重。去年10月,工程师发现推送有问题,当时动态消息中的虚假信息明显增多。 虚假信息本来是经过事实核查员审查过的,应该早早得到抑制,但这些信息却四处...
利用窃取过来的 NVIDIA 代码,威胁者利用签名证书来签署恶意软件,使其看起来值得信赖,并允许在 Windows 中加载恶意驱动程序。本周,NVIDIA 公司证实,他们遭受了一次网络攻击,使威胁者得以窃取员工的证书和专有数据。 对本次泄露事件负责的勒索集团 Lapsus$ 表示,他们已经窃取了...
虽然在 2021 年微软就已针对 Hive 勒索软件发布 Exchange 服务器的安全补丁,并敦促企业及时进行部署,但是依然有一些组织并没有及时跟进。消息称这些尚未跟进的组织近日再次遭受了 Hive 勒索软件的攻击,被黑客获得了系统权限。 在攻击获得系统权限之后,该勒索软件就会通过 PowerSh...
Hackernews 编译,转载请注明出处: 一名23岁的俄罗斯人在美国被起诉,并被列入美国联邦调查局网络通缉名单,因为他被指控是一家网络犯罪论坛 Marketplace A的管理员,该论坛出售被盗的登录凭证、个人信息和信用卡数据。 伊戈尔 · 德赫蒂亚克(Igor Dekhty...
利用新冠疫情,网络犯罪分子发起各种攻击而尽可能地牟利。欧盟网络安全机构 Enisa 强调,这类活动导致雇佣黑客在过去 15 个月中成为网络安全的最大威胁。 2020 年 4 月至 2021 年 7 月进行的研究的年度报告中,Enisa 表示 COVID-19 疫情期间观察到网络犯罪分子加大了针对潜在...