Het Pentagon heeft regels gepubliceerd waar hackers en beveiligingsonderzoekers aan moeten voldoen als ze in de openbare websites en webapplicaties van het Amerikaanse ministerie van Defensie kwetsbaarheden willen zoeken en rapporteren.

"Het beleid geeft onderzoekers duidelijke richtlijnen voor het testen en melden van kwetsbaarheden en geeft ook aan dat het minsterie van Defensie in openheid en goed vertrouwen met externe onderzoekers zal samenwerken", zo laat het Pentagon weten. Zo mogen onderzoekers gevonden kwetsbaarheden niet verder uitbuiten dan noodzakelijk, is het stelen van gegevens niet toegestaan, mag er niet op denial of service worden getest en is ook social engineering van defensiepersoneel of leveranciers niet toegestaan. Verder moeten de meldingen van een voldoende niveau zijn en een duidelijke uitleg bevatten hoe de kwetsbaarheid is te reproduceren.

Het Pentagon zegt dat het alle meldingen serieus neemt en zal onderzoeken. Zo zal er binnen 3 werkdagen met de melder contact worden gezocht. In het geval de melder dit wil zal het Pentagon hem of haar ook in het openbaar voor de melding bedanken. "We willen beveiligingsonderzoekers aanmoedigen om onze verdediging te verbeteren. Dit beleid geeft ze een juridische weg om de cybersecurity van het ministerie en uiteindelijk de natie te versterken", zegt defensieminister Ash Carter.