Hack DHS agora cobre descobertas relacionadas a vulnerabilidades Log4j

Para lidar com a mais recente e perigosa ameaça digital, o Hack DHS agora cobre descobertas relacionadas a vulnerabilidades Log4j.

O Department of Homeland Security (DHS, ou Departamento de Segurança Interna) anunciou que o programa ‘Hack DHS’ agora também está aberto a caçadores de recompensas de bugs que desejam rastrear os sistemas DHS afetados pelas vulnerabilidades Log4j.

“Em resposta às vulnerabilidades log4j descobertas recentemente, @DHSgov está expandindo o escopo de nosso novo programa de recompensa por bug #HackDHS e incluindo incentivos adicionais para encontrar e corrigir vulnerabilidades relacionadas ao log4j em nossos sistemas”, tuitou o secretário do DHS Alejandro N. Mayorkas.

“Em parceria com hackers verificados, o governo federal continuará a proteger os sistemas nacionais e a aumentar a resiliência cibernética compartilhada.”

Hack DHS agora cobre descobertas relacionadas a vulnerabilidades Log4j

Hack DHS agora cobre descobertas relacionadas a vulnerabilidades Log4j

O programa de recompensa de bug ‘Hack DHS’ foi anunciado na semana passada. Ele permite que pesquisadores de segurança cibernética avaliados encontrem e relatem vulnerabilidades em sistemas DHS externos, ganhando recompensas de até US$ 5.000 por bug relatado.

Hackers inscritos neste programa são obrigados a divulgar suas descobertas junto com informações detalhadas sobre a vulnerabilidade, como os invasores podem explorá-la e como os agentes de ameaças podem usá-la para acessar informações de sistemas DHS.

Todas as falhas de segurança relatadas serão verificadas pelo DHS em 48 horas e corrigidas em 15 dias ou mais, dependendo de sua complexidade.

O DHS lançou seu primeiro programa piloto de recompensa de bug em 2019, depois que a Lei de Tecnologia SECURE foi aprovada em lei para exigir o estabelecimento de uma política de divulgação de vulnerabilidade de segurança e um programa de recompensa de bug.


A decisão de expandir o programa ‘Hack DHS’ vem na esteira de uma diretriz de emergência emitida pela CISA na sexta-feira para ordenar que agências do Poder Executivo Civil Federal consertem o bug Log4Shell crítico e ativamente explorado até 23 de dezembro.

As agências federais tiveram mais cinco dias até 28 de dezembro para relatar produtos Java impactados em seus ambientes, incluindo nomes de aplicativos e fornecedores, as versões dos aplicativos e as ações tomadas para bloquear as tentativas de exploração.

CISA fornece uma página dedicada para a falha Log4Shell com informações de patch para fornecedores e organizações afetadas, e hoje a agência lançou um scanner Log4j para encontrar aplicativos vulneráveis.

Junto com agências de segurança cibernética em todo o mundo e outras agências federais dos EUA, a CISA também emitiu um conselho conjunto com orientação de mitigação sobre como lidar com as falhas de segurança CVE-2021-44228, CVE-2021-45046 e CVE-2021-45105 Log4j.

Deixe um comentário

Sair da versão mobile