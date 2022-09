Het Pentagon heeft voor bugmeldingen die tijdens een recent georganiseerd bugbountyprogramma werden ingezonden gemiddeld een paar honderd dollar betaald. Dat blijkt uit de openbaar gemaakte resultaten. Het Amerikaanse ministerie van Defensie organiseerde van 4 tot en met 11 juli het bugbountyprogramma "Hack U.S.", waarbij onderzoekers werden betaald voor het melden van kwetsbaarheden in tientallen defensiedomeinen zoals army.mil en nsa.gov.

Er was in totaal 75.000 dollar beschikbaar voor gemelde bugs en een extra 35.000 dollar voor bonussen, waarmee het totale beschikbare beloningsbedrag op 110.000 dollar uitkwam. Aan Hack U.S. deden in totaal 267 onderzoekers mee die in totaal 349 bugmeldingen indienden waarmee wat kon worden gedaan. Dat komt neer op een gemiddelde van een paar honderd dollar per bug.

Het ging onder andere om meldingen van "kritieke kwetsbaarheden". De meestvoorkomende problemen waren information disclosure, improper access control en SQL-injection. "Elke hackermelding is een stap in het verlagen van het collectieve cyberrisico en het beschermen van onze natie, dus we zijn elke hacker dankbaar die aan Hack U.S. deelnam", zegt Katie Savage van de Defense Digital Service dat bij het programma betrokken was.