Lanciato a Marzo, il progetto Hack the Pentagon invitava gli hacker ad attaccare i sistemi del Pentagono per metterne in luce eventuali vulnerabilità. L’iniziativa ha registrato la partecipazione di oltre 1400 hacker “whitehat”.
Basato su piattaforma HackerOne, il programma pilota ha permesso di portare alla luce ben 138 bug, sfruttabili soprattutto da cinesi e russi, con ricompense totali pari a circa 71mila Dollari versati in importi compresi tra 100 e 15mila Dollari.
Tra le vulnerabilità più comuni rilevate figurano Cross-Site Scripting (XSS), Information Disclosure e Cross-Site Request Forgery (CSRF). Una SQL Injection è stata invece la vulnerabilità più grave scovata e, di conseguenza, quella più lautamente ricompensata.
Il programma ha però finora coperto solo 5 portali aperti al pubblico (defense.gov, dodlive.mil, dvidshub.net, myafn.net e dimoc.mil), ragion per cui il DoD sta per varare una nuova policy che permetterà a chiunque di segnalare problemi non solo sui vari siti pubblici, ma anche su sistemi, reti e infrastrutture della difesa USA, senza timore di eventuali ripercussioni.
