米国防総省の懸賞金付きバグ探しプログラム「Hack the Pentagon」、成功を受けて拡大へ 6
ストーリー by hylom
合法的に米国防総省を狙えますよ 部門より
合法的に米国防総省を狙えますよ 部門より
米国防総省が、システムの脆弱性を見つけて報告した人に報奨金を支払う「Hack the Pentagon」プログラムを拡大する方針を明らかにした(TechCrunch)。
このプログラムは4月18日から5月12日にかけて実施されたもの。410名が参加し、合計138種類のバグが報告され、計7万1200ドルの賞金が支払われたという(hackeroneのHack the Pentagonページ。最も多く発見された脆弱性はXSSで、続いて意図しない情報公開とCSRFが続いたという。また、最も深刻だった脆弱性はSQLインジェクションだったそうだ。
この成功を受けて、米国防総省はより多くのシステムやネットワークを対象に加えて新たなプログラムを開始する方針だそうだ。
バグひとつ発見に約5万4000円賞金 (スコア:2)
71200/138バグ=(1バグで約516ドル=約5万4000円)
1バグあたりこの賞金なら挑戦者もがんばる動機になるでしょうね。
均等じゃないとして、小さなバグに100ドル、深刻バグに5000ドルくらいでしょうか。
「国防総省に報告するより闇のマーケットに売れば5万ドルになるか?」
という考えを起こすやつも一人くらいはいるかもしれませんが。
Re: (スコア:0)
> 「国防総省に報告するより闇のマーケットに売れば5万ドルになるか?」
そこが、公開してみんなでやると同じバグを安いカネで報告しちゃう奴が出てくる(かも?)ってことになるわけですね。
Re: (スコア:0)
積極的に反社会的になっても、あまり旨味が無くなるし、
むしろ個人の名誉にもなるってのがポジティブフィードバック働くいい政策だ
日本の場合 (スコア:0)
ホワイトハッカー気取りで書込み規制の穴を探るおじさん [2ch.net]
ハンドルネームを毎日変えながら [2ch.net]
成果を運用マニュアル、ソースコードを含み配布する [github.com]
…自己顕示欲とかソッチのほうが重要なのかもね
略してハッカゴン (スコア:0)
怪獣みたい
Re: (スコア:0)
ハクペンでいいんじゃないの。畜ペンみたいだけど。