據美國國土安全部(DHS)近日透露，加入“Hack DHS”漏洞賞金項目(bug bounty program)的賞金獵人已經在國土安全部的外部系統中發現了122個安全漏洞，其中27個被評估為嚴重漏洞。

據悉，國土安全部已向450多名經審查的安全研究人員和道德黑客發放了總計125,600美元的獎金。個人獲得獎金的多少取決于他發現的漏洞的嚴重程度，每個漏洞最多可獲得5,000美元的獎勵。

“在‘Hack DHS’的第一階段，安全研究人員們的熱情參與使我們能夠在關鍵漏洞被利用之前找到并修復它們”，國土安全部首席信息官(CIO)Eric Hysen對媒體表示道，“隨著‘Hack DHS’項目的進展，我們期待進一步加強我們與研究人員群體的聯系與合作。”

“Hack DHS”項目的建立借鑒了美國聯邦政府和私營部門類似成果的經驗，比如“黑掉五角大樓”(Hack the Pentagon)項目。

事實上，國土安全部第一次推出漏洞賞金試點項目是在2019年，這比“Hack DHS”還要早兩年。當時，《安全技術法案》(SECURE Technology Act)正式簽署成為法律，要求政府組織建立安全漏洞披露政策和賞金項目。

旨在為其他政府組織樹立榜樣

“Hack DHS” 漏洞賞金項目成立于2021年12月。項目要求黑客們披露自己發現的漏洞以及漏洞相關的詳細信息。例如，如何利用該漏洞，以及如何利用該漏洞訪問國土安全部系統的數據。

所有報告的安全漏洞將在48小時內由國土安全部安全專家進行驗證，并在15天內(有時需要更長時間)完成內修復，具體時間取決于漏洞的復雜性。

在“Hack DHS”項目啟動一周后，國土安全部擴大了賞金的范圍，允許研究人員追蹤受 Log4j 相關漏洞影響的國土安全部系統。此前，美國網絡安全和基礎設施安全局(CISA)發布了一項緊急指令，要求聯邦民事行政部門在12月23日前為自身的系統打補丁，以應對嚴重的Log4Shell漏洞。

對此，國土安全部部長Alejandro N. Mayorkas表示:“包括國土安全部等聯邦機構在內的各規模各部門的組織都應該保持警惕并采取措施加強其網絡安全。而‘Hack DHS’項目正是兌現了我們部門以身作則，保護國家網絡和基礎設施免受威脅的承諾。”

參考來源：https://www.bleepingcomputer.com/news/security/hack-dhs-bug-hunters-find-122-security-flaws-in-dhs-systems/