O Centro de Crime Cibernético (DC3) do Departamento de Defesa dos EUA afirma que atingiu a marca de processar seu 50.000º relatório de vulnerabilidade enviado por 5.635 pesquisadores desde sua criação em novembro de 2016.
A agência federal lançou seu Programa de Divulgação de Vulnerabilidades (VDP) há 7,5 anos, seguindo um evento de recompensa por bugs chamado 'Hack-the-Pentagon', para envolver relatórios de vulnerabilidades alimentados pela multidão que poderiam ajudar a reforçar suas defesas cibernéticas.
"Diferentemente das recompensas de bugs de curta duração, os hackers éticos do VDP relatam vulnerabilidades continuamente como parte de uma abordagem de defesa em profundidade", diz o anúncio do DC3.
"Através de sua função como ponto central para receber relatórios de vulnerabilidades, o DC3 VDP continua a contribuir significativamente para a segurança geral do DoD."
Em 2018, o programa introduziu um sistema automatizado de rastreamento e processamento para os relatórios enviados, melhorando consideravelmente a eficiência do framework, bem como a experiência que os hackers éticos tiveram ao se envolverem.
Ao longo do tempo, o VDP expandiu seu escopo para incluir vulnerabilidades em todos os ativos de TI publicamente acessíveis, sites e aplicações propriedade e operados pela Joint Force Headquarters DoD Information Network.
Em 2021, o DC3 e a Defense Counterintelligence and Security Agency trabalharam juntos em um programa especial de 12 meses que levou à descoberta e mitigação de 400 falhas de segurança significativas, poupando aos contribuintes um valor estimado de 61 milhões de dólares.
Em relação ao sucesso do VDP em 2023, embora a agência ainda não tenha divulgado seu relatório anual, com base no fato de que anunciou a marca de 45.000 relatórios de falhas exatamente um ano atrás, pode-se deduzir que 5.000 relatórios foram processados no ano passado.
Isso é menor do que as 7.349 vulnerabilidades relatadas em 2022, 8% das quais críticas, mas ainda é uma contribuição significativa.
O programa de recompensas por bugs do DoD no HackerOne mostra que a agência resolveu mais de 27.000 problemas no total, enquanto recebeu 1.231 relatórios nos últimos 90 dias.
Atualmente, o programa VDP no HackerOne define o escopo como todos os "sistemas de informações publicamente acessíveis, propriedades web ou dados pertencentes, operados ou controlados pela DoD".
Hackers éticos interessados em contribuir para a segurança cibernética do DoD através do VDP podem verificar todas as diretrizes aqui.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...