Quando o Pentágono anunciou em março a iniciativa “Hackear o Pentágono”, muita gente ficou imaginando quais tipos de vulnerabilidade eles achariam nos sites do governo. Agora nós sabemos.

>>> Elon Musk fez reunião secreta no Pentágono sobre… um “traje voador de metal”?
>>> Pentágono, Apple e NASA estão investindo na tecnologia de eletrônicos flexíveis

Segundo o secretário da defesa, Ash Carter, mais de 250 participantes de 1.400 que se inscreveram reportaram pelo menos um erro. Dessas, 138 foram consideradas vulnerabilidades “legítimas, únicas e passíveis de recebimento de um prêmio (para quem descobriu)”, disse Carter. As premiações variam de US$ 100 a US$ 15 mil, no caso de pessoas que acharam múltiplas vulnerabilidades.

O programa piloto, que ocorreu entre 18 de abril e 12 de maio, custou cerca de US$ 150 mil, sendo que metade desse prêmio foi para participantes. Os resultados foram liberados pelo governo dos Estados Unidos na última sexta-feira (17).

“Hackear o Pentágono” foi considerada uma forma barata de testar a segurança de cinco sites do Departamento de Defesa (defense.gov, dodlive.mil, dvidshub.net, myafn.net e dimoc.mil). Em vez de contratar empresas externas, que custaria pelo menos US$ 1 milhão, o governo recrutou hackers que fizeram um trabalho parecido e por muito menos dinheiro — alguns dos participantes, inclusive, estavam no ensino médio.

Além de falar do número de falhas, Carter também disse que o governo está trabalhando com a HackerOne, uma plataforma de recompensa de bugs, para corrigir vulnerabilidades e que o governo tem “criado pontes mais sólidas com cidadãos inovadores que querem fazer a diferença em nossa missão de defesa.” O secretário quer que o programa de “recompensa por bugs” seja extendido para outras áreas do governo e ele quer assegurar que hackers e pesquisadores reportem falhas sem a necessidade de um programa em específico.

“Quando falamos de informação e tecnologia, a defesa geralmente confia em sistemas fechados”, disse ele. “No entanto, quanto mais olhos temos em nossos sistemas e sites, mais falhas achamos, mais conseguimos corrigir vulnerabilidades e mais segurança nós conseguimos fornecer para nossos combatentes.”

Muitos websites já fazem esses programas de recompensa, mas foi a primeira vez que o governo federal teve esse tipo de iniciativa. É uma boa experiência para hackers jovens e especialistas de segurança que querem tentar hackear alguma agência do governo, embora seja pouco dinheiro.

[Phys.org via Defense.gov]

Foto do topo por David B. Gleason/Flickr