新加坡科技技术局(GovTech)于11月中开跑了第三个官方漏洞赏金计划(BBP),邀请白帽黑客(White Hat)们,,在12个政府系统、应用程序中寻找程序错误码或漏洞(bugs),该计划将持续到12月8日。根据发现的漏洞的复杂度、严重程度,新加坡政府将发布从250美元到10,000美元的特别奖励。
向白帽黑客招手,邀神手揪出政府网络服务漏洞
此外,这次发起的计划其中,包含针对人民经常使用的12个政府系统,范围涵盖内政部、健康促进委员会、交通管理局、国税局、会计和公司监管局、环境局以及国家发展部等网络服务都在此次计划其中。与前两次漏洞赏金计划相似,参加者必须是在HackerOne中注册的白帽黑客。全球黑客都欢迎参加。截至发稿,已有将近700名白帽黑客完成注册。
科技技术局表示,漏洞赏金竞赛中发现的任何漏洞都将回应给相关组织进行补救。也将在明年2月之前分享主要发现的漏洞。前两次的漏洞赏金竞赛涵盖14个政府系统,总共支付了近38,000美元的赏金。
补充漏洞竞赛的限制与不足,科技技术局也同时启动“漏洞披露程序计划(Vulnerability Disclosure Programme), VDP”。
漏洞赏金计划是有时间限制的,并且只限于固定的系统和服务。为了对此计划进行补充,科技技术局于2019年10月1日也启动了漏洞披露程序计划(VDP)。漏洞披露程序计划邀请有接露自我身份的大众,并接受他们不管在哪一个政府网站或是手机应用程序中发现漏洞的报告。不过,有点要注意的是,在漏洞披露程序计划下发现的漏洞将不会获得政府的赏金奖励哦。
新加坡国防部也不落人后,成功发现20个Bug
除了科技部外,新加坡的第二个官方漏洞赏金计划,是由国防部于今年9月主办,主要针对新加坡武装部队Singapore Armed Forces(SAF)和其他国防机构来揪出漏洞。该次活动一共有305位白帽黑客参与,其中134位来自新加坡,171位则为国际黑客。在为期一个月的时间中,白帽黑客共提交52个漏洞报告,其中有20个被认为是有效的,发出出的赏金总额为16,000美元。
数据来源:
1. The straitstimes- Hackers to test 12 govt systems in bug bounty programme
2. The straitstimes- NSF is top hacker in Mindef’s programme that gives cash for discovering software bugs
3. SecurityBrief
4. CSR