"Hack the Pentagon"-Programm offenbart 138 Sicherheitslücken
Die US-Regierung hatte im März Hacker aufgerufen, fünf Pentagon-Webseiten zu attackieren. Laut US-Verteidigungsminister Ashton Carter fanden sie dabei etliche Sicherheitslücken.
(Bild: David B. Gleason)
Vom 18. April bis 12. Mai nahmen 1410 Teilnehmer am Bug-Bounty-Programm "Hack the Pentagon" der US-Regierung teil. Sie reichten insgesamt 1189 Reports ein, die 138 Sicherheitslücken ans Licht brachten. Unter den häufigsten waren Cross-Site Scripting (XSS), Information Disclosure und Cross-Site-Request-Forgery (Website-übergreifende Anfragenfälschung).
Im März hatte die US-Regierung das Programm ins Leben gerufen. Nach Sicherheitscheck und Hintergrundüberprüfung konnten die Hacker in dessen Rahmen offiziell fünf US-Webseiten attackieren. Ziel der Attacken waren die Seiten defense.gov, dodlive.mil, dvidshub.net, myafn.net und dimoc.mil.
Günstige Sicherheitsberater
Das Pentagon zahlte dafür Preisgelder von durchschnittlich 588 US-Dollar aus. Insgesamt wurden Gelder in Höhe von 71.200 US-Dollar gezahlt. Das komplette Programm kostete das Doppelte. Unter den Teilnehmern waren Schüler wie der 18-jährige High-School-Absolvent David Dworken, der anlässlich der Feier im Pentagon sprach.
Die Entscheidung, Amateure gegen geringe finanzielle Anreize zu beschäftigen, dürfte für das Pentagon deutlich kostengünstiger gewesen sein, als eine Security-Firma zu beschäftigen. "Es hätte uns über eine Million gekostet", sagte Carter bei der Feier.
Ausweitung auf andere Institutionen
Die Regierung arbeitet nun mit der Bug-Bounty-Plattform HackerOne zusammen, um die Lücken zu schließen. Carter plant indes, das Programm auf andere Bereiche der Regierung auszuweiten. "Je mehr freundliche Augen wir auf unsere Systeme und Webseiten richten, desto mehr Lücken können wir finden und schließen". Viele Website-Betreiber führen Bug-Bounty-Programme durch. Dies war das erste von Seiten der US-Regierung. (akr)
