Спустя почти год после того, как Пентагон запустил программу раскрытия уязвимостей, ведомство получило 2837 достоверных отчетов об уязвимостях от примерно 650 хакеров из 50 стран по всему миру, указывается в пресс-релизе на портале HackerOne.
Более 100 обнаруженных уязвимостей были критическими или представляли серьезную опасность для систем ведомства. Проблемы в почти 40 компонентах систем Минобороны США позволяли удаленно выполнить код, осуществить SQL-инъекцию и обойти аутентификацию.
Большинство отчетов были представлены исследователями из США, Индии, Великобритании, Пакистана, Филиппин, Египта, России, Франции, Австралии и Канады. Программа раскрытия уязвимостей Минобороны США не предполагает денежного вознаграждения – она предоставляет только канал для сообщения о проблемах безопасности без возможных юридических последствий.
Однако в рамках инициативы Пентагона было запущено несколько временных программ, предлагавших денежные вознаграждения. Исследователи, принявшие участие в данных программах, заработали более $300 тыс. за обнаружение в системах ведомства почти 500 уязвимостей.
Первой такой инициативой была программа Hack the Pentagon (“Взломай Пентагон”), в рамках которой исследователи заработали порядка $75 тыс. за 138 сообщений об уязвимостях. Далее ведомство запустило программы Hack the Army (“Взломай армию”), в рамках которой было выплачено около $100 тыс. за 118 уязвимостей и Hack the Air Force (“Взломай ВВС”), в рамках которой участники обнаружили 207 уязвимостей, заработав в общей сложности $130 тыс.
После успеха данных программ правительственные организации и законодательные учреждения США проявили усиленный интерес к программам выплаты вознаграждений за обнаруженные уязвимости.
Администрация общих служб (General Services Administration, GSA) запустила программу поиска уязвимостей, предлагающую вознаграждение в размере от $300 до $5 тыс. Министерство юстиции США также разработало механизм, призванный помочь организациям в запуске программ по поиску уязвимостей.