Hackers vinden 138 lekken in websites Pentagon
Hackers hebben tijdens een georganiseerde test 138 beveiligingslekken in verschillende websites van het Pentagon gevonden, zo heeft het Amerikaanse ministerie van Defensie bekendgemaakt. Het ging om een pilot genaamd 'Hack the Pentagon', waarbij hackers en onderzoekers werden betaald voor het vinden en rapporteren van kwetsbaarheden in defensiesites.
Voordat hackers aan het programma konden deelnemen moesten ze zich eerst registreren. Het programma was daarnaast alleen voor Amerikaanse staatsburgers opengesteld. Toch hebben meer dan 1400 hackers zich aangemeld en meer dan 250 daarvan stuurden ook een bugmelding in. In totaal werden er bijna 1200 beveiligingslekken gemeld, waarvan er na controle 138 geldig en uniek bleken te zijn.
Het Pentagon had 150.000 dollar gereserveerd voor het betalen van de hackers. Ongeveer de helft is daarvan gebruikt voor het belonen van de bugmeldingen. Een deelnemer ontving de maximale beloning van 15.000 dollar. Volgens de Amerikaanse minister van Defensie Ash Carter was het een waardevol progamma dat als aanvulling en ondersteuning kan dienen voor de mensen die vanuit Defensie zich met het beveiligen van websites bezighouden. Als het Pentagon externe experts had moeten inhuren voor het vinden van de nu gerapporteerde problemen had dit minimaal 1 miljoen dollar gekost, aldus de de Defensieminister.
Er een wedstrijd van maken was bijzonder goedkoop en de beloning feitelijk ook gierig, het weerspiegelt een onderwaardering.
Aan de andere kant: normaliter ben ik tegen penetration tests, maar deze opzet kan ik het qua functionaliteit/resultaat wel waarderen. Door het grote aantal hackers ben je er zeker van dat je veel meer vind dan als je 1 partij inhuurt die slechts een fractie van de potentiele lekken boven water kan krijgen.
The program targeted five public-facing websites: http://www.defense.gov, http://www.dodlive.mil, http://www.dvidshub.net, http://www.myafn.net and http://www.dimoc.mil, according to a DoD spokesman.
Dat zijn een paar ASP.NET, een Java EE en de rest PHP en PHP based (Wordpress) sites.
De Pentagon website zelf http://pentagontours.osd.mil/ draait Java EE maar die viel - blijkbaar - buiten het programma.
Weet je toevallig ook achter welke site de webinterface zit om een drone een clusterbom te laten gooien? Ik heb wat last met mollen in mijn voortuin namelijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.