Hack The Air Force 2.0: Über 100 Schwachstellen entdeckt

HackerOne hat die Ergebnisse des Hackerwettbewerbs Hack The Air Force 2.0 bekannt gegeben. Die US-Luftwaffe zahlte demnach 103.883 Dollar an Sicherheitsforscher aus 26 Ländern, die über einen Zeitraum von 20 Tagen 106 Sicherheitslücken in Software der Air Force entdeckten.

Hack The Air Force ist Teil eines Sicherheitsprogramms des US-Verteidigungsministeriums. Ähnliche Wettbewerbe werden auch für das Pentagon selbst sowie die US-Armee durchgeführt. Die Air Force stand ab dem 18. Dezember bereits zum zweiten Mal im Fokus von Hackern.

Bei der ersten Ausgabe des Wettbewerbs im vergangenen Jahr wurden Belohnungen in Höhe von 133.400 Dollar ausgezahlt. Die US-Regierung erhielt im Gegenzug Details zu 207 Sicherheitslücken. Die erste Schwachstelle fand ein Forscher in weniger als einer Minute.

Das Department of Defence zahlt seit 2016 für Details zu Sicherheitslücken in seiner Software. Seitdem wurden mehr als 3000 Anfälligkeiten in Regierungssystemen entdeckt und auch behoben. Die höchste Einzelprämie von 12.500 Dollar sicherte sich nun ein Teilnehmer der zweiten Ausgabe von Hack The Air Force.

„Wir härten weiterhin unsere Angriffsflächen basierend auf den Erkenntnissen des vorherigen Wettbewerbs ab und werden die Lektionen hinzufügen, die wir in dieser Runde gelernt haben“, sagte Peter Kim, Chief Information Security Officer der Air Force. „Das bekräftigt die Bemühungen der Air Force, die Cyber-Verteidigung zu verstärken und hat wichtige Beziehungen zu talentierten Forschern geschaffen, die Jahre anhalten werden.“

Durchgeführt wurde der Wettbewerb von HackerOne, dass eine Plattform für die Verwaltung von Prämienprogrammen für Sicherheitsforscher anbietet. Teilnahmeberechtigt waren ausschließlich Sicherheitsforscher aus den Five-Eyes-Staaten USA, Kanada, Großbritannien, Australien und Neuseeland, den NATO-Staaten und Schweden. Darüber hinaus durften sich auch Angehörige der US-Streitkräfte beteiligen, die jedoch keinen Anspruch auf die Belohnungen hatten.

Immer mehr Unternehmen starten Prämienprogramme oder weiten diese aus, um unabhängige Sicherheitsforscher für ihre Arbeit zu entlohnen. Die Zahlung von Prämien ist jedoch weiterhin umstritten. Befürworter argumentieren, es handele sich um eine gerechte Entlohnung für die Arbeit der Forscher, die zudem verhindere, dass Sicherheitslücken auf dem Schwarzmarkt landeten. Gegner wiederum befürchten, dass sich Unternehmen oder Organisationen erpressbar machen, wenn sie bereit sind, für Details zu Sicherheitslücken Geld auszugeben.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.