SQL-injection hos Pentagon udløste 3.500 dollars: Interesse for hacker-dusører breder sig i amerikanske ministerier

Inspireret af Pentagon har det amerikanske sundhedsministerium nu også kig på tankegangen bag bug bounty-programmer.

Embedsfolk fra det amerikanske sundhedsministerium, Department of Health and Human Services (HHS), har udtrykt interesse for at udbetale dusører til hackere, der finder sikkerhedshuller i ministeriets it. Altså det der på engelsk kaldes et såkaldt bug bounty-program.

Det fortæller Federal Times.

Sådan et program har det amerikanske forsvarsministerium, kaldet Pentagon, afsluttet i sidste måned. Det blev fasciliteret af hackerone.com under titlen 'Hack the Pentagon'.

Og det kan være en mulig måde at forbedre sikkerheden på i den amerikanske sundhedssektor. Det fortalte Lucia Savage, der er chief privacy officer hos HHS om under et indlæg hos Collaboration of Health IT Policy and Standards Committees tidligere på måneden.

Her gav hun udtryk for, at bug bounty-tilgangen virker lovende, såfremt den bliver skaleret til at leve op til kravene i sundhedssektoren. Eksempelvis i forhold til medicinske enheder.

»Det er en kamp for enheder også,« sagde hun ifølge Federal Times og fortsatte:

»Du kan ikke hacke noget i marken, hvad hvis hackeren forstyrrer driften på enheden. Tilsvarende, sundhedsdata og EHR's (elektroniske patientjournaler, red.), vi ønsker måske ikke, at hackeren får adgang til dine live-data, fordi det kan give problemer med dine forpligtelser i forhold til at holde data fortrolige.«

Savage fortalte endvidere, at hendes afdeling under HHS, Office of the National Coordinator for Health Information Technology, var ved at udarbejde planer for, hvordan etisk hacking kan anvendes på sundhedsområdet.

SQL-injection hos Pentagon

Pentagons bug bounty-program løb i en periode her i foråret fra 18. april til 12. maj. Programmet udløste i alt 71.200 dollar i dusør. Det svarer til ca. 481.000 kroner. Den gennemsnitlige dusør-størrelse var på 588 dollar, hvilket er næsten 4.000 kroner. 138 gyldige bugs blev løst i Pentagons systemer som følge af dusør-programmet.

Den højeste bug-udbetaling var på 3.500 dollar (ca. 23.700 kroner). Udbetalingen blev udløst af en SQL-injection sårbarhed.

Testen omfattede oprindeligt defense.gov, dodlive.mil, dvidshub.net, myafn.net and dimoc.mil

Men øjensynligt har det amerikanske forsvarsministerium fundet projektet aldeles succesfuldt. I hvert fald har Pentagon, som Engadget tidligere har fortalt, besluttet at køre et nyt dusør-program, der udover websites, også skal omfatte netværk, systemer og applikationer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere