Hacker One: Die Sicherheitslücken der US-Armee

Das Unternehmen Hackerone hat die Ergebnisse eines rund einmonatigen Bug-Bounty-Programms der US-Armee bekanntgegeben. Zwischen dem 30. November und dem 21. Dezember 2016 registrierten sich 371 Hacker erfolgreich für das Programm. Um teilnehmen zu können, mussten bestimmte Voraussetzungen erfüllt sein, zum Beispiel mussten die Teilnehmer eine US-Sicherheitsüberprüfung vorweisen können.

Während der Zeit wurden 416 Schwachstellen gemeldet, von denen schließlich 118 als valide Sicherheitslücken eingestuft wurden. Insgesamt wurden in der Zeit rund 100.000 US-Dollar an Prämien ausgeschüttet, einige Auszahlungen laufen noch.

Als kritisch stellte sich vor allem eine Reihe von Sicherheitslücken heraus, die einem Angreifer ermöglichte, von der öffentlich verfügbaren Webseite goarmy.com auf eine interne Webseite des US-Verteidigungsministeriums (Pentagon) zuzugreifen. Für sich genommen seien die Probleme nicht besonders problematisch, stellen aber insgesamt eine Bedrohung dar, heißt es in dem Blogpost. Details zu den Sicherheitslücken wurden nicht veröffentlicht.

Armee ist zufrieden

Die Armee ist offenbar zufrieden mit dem Ergebnis. Chris Lynch, Leiter des Bereichs Defense Digital Service bei der US-Armee sagte Techcrunch: "Wir wissen, dass wir eine Menge vernünftiger Ergebnisse bekommen, wenn wir Hacker auf ein weites Feld loslassen. Das ist ein Fakt. Wir können nicht jeden großartigen Hacker anstellen und für uns arbeiten lassen, aber wir können diese crowdsourcing."

Ein ähnliches Programm für Sicherheitsforscher, Hack the Pentagon, kostete am Ende rund 150.000 US-Dollar. Die genauen Kosten für Hack the Army sind noch nicht bekannt, ein Security-Audit mit vergleichbaren Ergebnissen hätte nach Schätzungen der Armee jedoch mindestens 1 Million US-Dollar gekostet.