“Hack the Pentagon” descubre 138 vulnerabilidades el las webs de defensa de EEUU

El Departamento Americano de Defensa acaba de publicar los resultados del programa piloto de recompensas “Hack the Pentagon”, que se ha convertido en un verdadero éxito y seguramente se repetirá próximamente.

Del 18 de abril al 12 de mayo de este año, el Departamento de Defensa invitó a hackers americanos, a cambio de una recompensa monetaria, para que identificaran vulnerabilidades en defense.gov y otras cuatro webs con acceso al público: dodlive.mil, dvidshub.net, myafn.net y dimoc.mil.

Los datos oficiales muestran que tomaron parte 1.410 participantes de 44 estados, y expatriados en varios países como Gran Bretaña, Alemania o Japón. De ellos, más de 250 enviaron como mínimo un informe de vulnerabilidad, de los cuales 138 eran verdaderos, únicos y merecían una recompensa. A día de hoy se han solucionado todas las vulnerabilidades descubiertas.

Según Associated Press, un hacker consiguió el mayor premio al recibir 15.000$ por enviar varias vulnerabilidades, los premios variaban hasta los 100$. El primer informe se recibió sólo 13 minutos después de que se abriera el programa, siendo casi 200 los que llegaron en las seis primeras horas.

HackerOne, uno de los socios del Departamento de Defensa, informa que una inyección SQL fue el problema más peligro y ganó 3.500$, la mayor recompensa individual. Los problemas de Cross-Site Scripting fueron los más habituales, como suele ser en este tipo de programas.

El programa ha costado 150.000$, de los que la mitad fueron a recompensas. Pese a que parezca lo contrario, esta cantidad es un chollo, ya que contratar a una empresa que realizara el mismo trabajo podría costar un millón de dólares.

“Hack the Pentagon” es la creación de una nueva agencia del Departamento de Defensa, la Defense Digital Service (DDS). Su director, Chris Lynch, es un emprendedor en nuevas tecnologías que ayudó al gobierno después de la debacle de healthcare.gov.

DDS enfatizó que este programa piloto estaba focalizado en webs públicas, no en servidores críticos de los que dependían misiones. Aunque, quizás algún día eso pueda cambiar.

Hay tres iniciativas más en marcha:

La primera es la creación de un proceso para el envío de nuevas vulnerabilidades. De esta manera alguien que descubra una nueva, tenga una forma segura de hacérsela llegar sin miedo a represalias.

La segunda es el desarrollo de un contrato estándar que pueda ser usado para crear otros programas de recompensas dentro del departamento de defensa, y más específicamente en el ejército.

La tercera es dar incentivos para que los proveedores de software del Departamento de Defensa creen entornos para testear el código fuente que usen.

El programa ha sido un éxito, según el secretario de defensa Ash Carter, ya que hasta ahora no se habían dado cuenta de la cantidad de hackers que están dispuestos a ayudarles para hacer su nación más segura.

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: