Het Amerikaanse ministerie van Defensie heeft alle publieke informatiesystemen onderdeel van het eigen bugbountyprogramma gemaakt. Onderzoekers die kwetsbaarheden in de systemen van het Defense Department vinden kunnen dit via het Vulnerability Disclosure Program (VDP) melden.

Het beloningsprogramma komt voort uit het “Hack the Pentagon” initiatief dat in 2016 werd gelanceerd. Via het initiatief kon het Pentagon een beloning aanbieden aan onderzoekers die kwetsbaarheden vonden en wilden rapporteren. Iets wat voor het programma niet mogelijk was. “Hierdoor werden veel kwetsbaarheden niet gerapporteerd”, zegt Brett Goldstein, directeur van de Defense Digital Service.

Oorspronkelijk was het VDP alleen beperkt tot publieke websites en applicaties van het ministerie. Door de nu aangekondigde uitbreiding vallen alle publiek toegankelijke netwerken, frequentie-gebaseerde communicatie, Internet of Things, industriële controlesystemen en meer onder het programma. Volgens Goldstein laat de uitbreiding zien hoe de aanpak van de Amerikaanse overheid als het om security gaat is veranderd en er sprake is van een grote stap voorwaarts.

Sinds de lancering van het Vulnerability Disclosure Program werden meer dan 29.000 kwetsbaarheden bij het Pentagon gemeld, waarvan meer dan zeventig procent geldig bleek te zijn. Door de uitbreiding van het programma wordt verwacht dat dit aantal sterk zal toenemen, aangezien onderzoekers nu ook systemen zullen bekijken waarvoor eerder geen kwetsbaarheden konden worden gerapporteerd.

Image

Source