Как сообщает сайт HackerOne, почти через год после запуска программы раскрытия уязвимостей в адрес Пентагона поступило 2837 достоверных отчетов от 650 хакеров из 50 стран.
Свыше 100 выявленных уязвимостей имели критический характер или несли серьезную угрозу для ведомственных систем. С помощью ошибок в 40 различных элементах систем Министерства обороны США хакеры могли дистанционно выполнять код, осуществлять SQL-инъекцию и обходить механизм аутентификации.
Большая часть отчетов была предоставлена австралийскими, американскими, британскими, египетскими, индийскими, канадскими, пакистанскими, российскими, филиппинскими и французскими исследователями.
Программа раскрытия уязвимостей Пентагона не подразумевает выплату денежных премий: она лишь дает канал для коммуникации о проблемах безопасности без каких-либо юридических последствий для хакеров. В то же время в рамках инициативы Министерства обороны США было запущено несколько временных программ с выплатой денежных вознаграждений. Эксперты, которые приняли участие в таких программах, получили свыше 300000 долларов за выявление около 500 уязвимостей в ведомственных системах.
Первая подобная инициатива – Hack the Pentagon, в ходе которой эксперты получили около 75000 за 138 отчетов об уязвимостях. Затем были запущены программы Hack the Army (за 118 уязвимостей было выплачено около 100000 долларов) и Hack the Air Force (за 207 уязвимостей хакеры получили 130000 долларов).
Успех этих проектов также привлек внимание правительственных органов США к программам выплаты премий за поиск уязвимостей.
