O Departamento de Defesa dos EUA recebeu 50.000 relatórios de vulnerabilidade desde 2016
20 de Março de 2024

O Centro de Crime Cibernético (DC3) do Departamento de Defesa dos EUA afirma que atingiu a marca de processar seu 50.000º relatório de vulnerabilidade enviado por 5.635 pesquisadores desde sua criação em novembro de 2016.

A agência federal lançou seu Programa de Divulgação de Vulnerabilidades (VDP) há 7,5 anos, seguindo um evento de recompensa por bugs chamado 'Hack-the-Pentagon', para envolver relatórios de vulnerabilidades alimentados pela multidão que poderiam ajudar a reforçar suas defesas cibernéticas.

"Diferentemente das recompensas de bugs de curta duração, os hackers éticos do VDP relatam vulnerabilidades continuamente como parte de uma abordagem de defesa em profundidade", diz o anúncio do DC3.

"Através de sua função como ponto central para receber relatórios de vulnerabilidades, o DC3 VDP continua a contribuir significativamente para a segurança geral do DoD."

Em 2018, o programa introduziu um sistema automatizado de rastreamento e processamento para os relatórios enviados, melhorando consideravelmente a eficiência do framework, bem como a experiência que os hackers éticos tiveram ao se envolverem.

Ao longo do tempo, o VDP expandiu seu escopo para incluir vulnerabilidades em todos os ativos de TI publicamente acessíveis, sites e aplicações propriedade e operados pela Joint Force Headquarters DoD Information Network.

Em 2021, o DC3 e a Defense Counterintelligence and Security Agency trabalharam juntos em um programa especial de 12 meses que levou à descoberta e mitigação de 400 falhas de segurança significativas, poupando aos contribuintes um valor estimado de 61 milhões de dólares.

Em relação ao sucesso do VDP em 2023, embora a agência ainda não tenha divulgado seu relatório anual, com base no fato de que anunciou a marca de 45.000 relatórios de falhas exatamente um ano atrás, pode-se deduzir que 5.000 relatórios foram processados no ano passado.

Isso é menor do que as 7.349 vulnerabilidades relatadas em 2022, 8% das quais críticas, mas ainda é uma contribuição significativa.

O programa de recompensas por bugs do DoD no HackerOne mostra que a agência resolveu mais de 27.000 problemas no total, enquanto recebeu 1.231 relatórios nos últimos 90 dias.

Atualmente, o programa VDP no HackerOne define o escopo como todos os "sistemas de informações publicamente acessíveis, propriedades web ou dados pertencentes, operados ou controlados pela DoD".

Hackers éticos interessados em contribuir para a segurança cibernética do DoD através do VDP podem verificar todas as diretrizes aqui.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...