5月到6月期間黑進美國空軍的安全研究員總共拿到了13.34萬美元的獎勵。“黑掉空軍”漏洞獎勵項目,讓272名黑客針對精選出的公開USAF網(wǎng)站資源下手,尋找并負責任地公開漏洞。
“黑掉空軍”獎勵項目由HackerOne運營,該漏洞獎勵平臺之前還承辦過“黑掉國防部”和“黑掉陸軍”漏洞獎勵項目。漏洞獎勵項目的目標,是納入第三方安全研究人員來發(fā)現(xiàn)安全問題,然后為此支付報酬。
從5月30日持續(xù)到6月23日的“黑掉空軍”獎勵項目期間,共有207個漏洞被發(fā)現(xiàn)并秘密報告。作為項目的一部分,USAF根據(jù)所報告漏洞的嚴重性和影響,為每個漏洞付出100美元到5000美元不等的酬金。這些安全漏洞的詳細信息不在此時公開。
HackerOne公關(guān)主管勞倫·科斯扎雷克說:“最高5000美元檔次的獎金發(fā)給高影響漏洞。我們不能公開發(fā)給特定黑客的具體獎金數(shù)額。”
盡管領(lǐng)賞黑客的姓名和具體獎金數(shù)額沒有公開,USAF和HackerOne還是提供了該漏洞獎勵項目參與幅度的某些一般性細節(jié)。一位17歲的安全研究員提交了30份有效漏洞報告,摘得最高總賞金額。
該項目也從兩名現(xiàn)役軍方人員處收獲了漏洞信息。值得注意的是:272名參與者中有33名外籍人士。此前的“黑掉國防部”漏洞獎勵項目則限定了參與者只能是美國人。
我們總是被黑客社區(qū)的天才所震撼。“黑掉空軍”是首個非美國黑客參與的官方漏洞獎勵項目,來自英國、加拿大、新西蘭和澳大利亞的黑客提交了50多個有效漏洞。
“黑掉國防部”是HackerOne首次承辦的軍方漏洞獎勵項目,從2016年4月18日持續(xù)到5月12日,總共散出去7.12萬美元的獎金。
“黑掉陸軍”漏洞獎勵項目緊接著在2016年底開展,發(fā)出共10萬美元獎金。這最新一次的“黑掉空軍”漏洞獎勵項目,以13.34萬美元的獎金成為迄今為止酬金最高的聯(lián)邦漏洞獎勵項目。
盡管“黑掉空軍”項目已落下帷幕,國防部與HackerOne之間在2016年簽下的多年協(xié)議依然存在,HackerOne仍將繼續(xù)為國防部提供托管漏洞獎勵項目和專業(yè)知識服務。
HackerOne與國防部的合同依然持續(xù),我們在接下來的幾年里會繼續(xù)執(zhí)行這些成功的挑戰(zhàn)。