Het Amerikaanse ministerie van Homeland Security (DHS) heeft het recent gelanceerde bugbountyprogramma uitgebreid met beloningen voor het vinden van Log4j-gerelateerde kwetsbaarheden in de eigen systemen. Met het "Hack DHS" programma wil het ministerie van Binnenlandse Veiligheid eventueel aanwezige beveiligingslekken verhelpen en de cyberweerbaarheid van het ministerie versterken.

Het programma bestaat uit drie fases. Als eerste zal een model worden ontwikkeld dat ook andere overheidsinstanties kunnen gebruiken om hun cyberweerbaarheid te versterken. Tijdens deze fase zullen hackers bepaalde externe systemen van het ministerie van Homeland Security op afstand gaan testen. Fase twee bestaat uit een live hacking evenement waarbij de hackers ter plekke aan de slag gaan. Als laatste zal DHS de geleerde lessen identificeren en evalueren en plannen voor toekomstige bugbounties maken.

Secretaris Alejandro Mayorkas van Homeland Security laat via Twitter weten dat het programma nu ook gaat gelden voor Log4j-gerelateerde kwetsbaarheden. Voor het melden van beveiligingslekken looft het ministerie beloningen van tussen de 500 en 5.000 dollar uit. Vorige week gaf het Cybersecurity and Infrastructure Security Agency (CISA) van Homeland Security een noodbevel aan alle Amerikaanse federale overheidsinstanties af om de Log4j-kwetsbaarheid meteen te patchen.

Afgelopen maandag organiseerde het CISA een call voor de vitale infrastructuur over het beveiligingslek. Volgens de overheidsdienst belden er bijna vijfduizend mensen in. Het CISA schat dat "honderden miljoenen" apparaten kwetsbaar zijn. Voor zover bekend zijn er nog geen federale Amerikaanse overheidsinstanties via Log4j gecompromitteerd.