據(jù)美國(guó)國(guó)土安全部（DHS）近日透露，加入“Hack DHS”漏洞賞金項(xiàng)目（bug bounty program）的賞金獵人已經(jīng)在國(guó)土安全部的外部系統(tǒng)中發(fā)現(xiàn)了122個(gè)安全漏洞，其中27個(gè)被評(píng)估為嚴(yán)重漏洞。

據(jù)悉，國(guó)土安全部已向450多名經(jīng)審查的安全研究人員和道德黑客發(fā)放了總計(jì)125,600美元的獎(jiǎng)金。個(gè)人獲得獎(jiǎng)金的多少取決于他發(fā)現(xiàn)的漏洞的嚴(yán)重程度，每個(gè)漏洞最多可獲得5,000美元的獎(jiǎng)勵(lì)。

“在‘Hack DHS’的第一階段，安全研究人員們的熱情參與使我們能夠在關(guān)鍵漏洞被利用之前找到并修復(fù)它們”，國(guó)土安全部首席信息官（CIO）Eric Hysen對(duì)媒體表示道，“隨著‘Hack DHS’項(xiàng)目的進(jìn)展，我們期待進(jìn)一步加強(qiáng)我們與研究人員群體的聯(lián)系與合作。”

“Hack DHS”項(xiàng)目的建立借鑒了美國(guó)聯(lián)邦政府和私營(yíng)部門類似成果的經(jīng)驗(yàn)，比如“黑掉五角大樓”（Hack the Pentagon）項(xiàng)目。

事實(shí)上，國(guó)土安全部第一次推出漏洞賞金試點(diǎn)項(xiàng)目是在2019年，這比“Hack DHS”還要早兩年。當(dāng)時(shí)，《安全技術(shù)法案》（SECURE Technology Act）正式簽署成為法律，要求政府組織建立安全漏洞披露政策和賞金項(xiàng)目。

旨在為其他政府組織樹(shù)立榜樣

“Hack DHS” 漏洞賞金項(xiàng)目成立于2021年12月。項(xiàng)目要求黑客們披露自己發(fā)現(xiàn)的漏洞以及漏洞相關(guān)的詳細(xì)信息。例如，如何利用該漏洞，以及如何利用該漏洞訪問(wèn)國(guó)土安全部系統(tǒng)的數(shù)據(jù)。

所有報(bào)告的安全漏洞將在48小時(shí)內(nèi)由國(guó)土安全部安全專家進(jìn)行驗(yàn)證，并在15天內(nèi)（有時(shí)需要更長(zhǎng)時(shí)間）完成內(nèi)修復(fù)，具體時(shí)間取決于漏洞的復(fù)雜性。

在“Hack DHS”項(xiàng)目啟動(dòng)一周后，國(guó)土安全部擴(kuò)大了賞金的范圍，允許研究人員追蹤受 Log4j 相關(guān)漏洞影響的國(guó)土安全部系統(tǒng)。此前，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）發(fā)布了一項(xiàng)緊急指令，要求聯(lián)邦民事行政部門在12月23日前為自身的系統(tǒng)打補(bǔ)丁，以應(yīng)對(duì)嚴(yán)重的Log4Shell漏洞。

對(duì)此，國(guó)土安全部部長(zhǎng)Alejandro N. Mayorkas表示:“包括國(guó)土安全部等聯(lián)邦機(jī)構(gòu)在內(nèi)的各規(guī)模各部門的組織都應(yīng)該保持警惕并采取措施加強(qiáng)其網(wǎng)絡(luò)安全。而‘Hack DHS’項(xiàng)目正是兌現(xiàn)了我們部門以身作則，保護(hù)國(guó)家網(wǎng)絡(luò)和基礎(chǔ)設(shè)施免受威脅的承諾?！?/p>