本月早些时候，“黑了空军2.0”漏洞奖励项目启动，参与项目的黑客发现入侵美国国防部的关键漏洞。

 

12月9日，纽约富尔顿中心拉开了“黑了空军2.0”的帷幕。活动中，两名研究人员演示了如何透过空军网站漏洞，入侵国防部网络，并赢得了10,650美元。这是美国政府举办的所有漏洞奖励项目中，有史以来最高单笔奖金数额。

7名美国空军人员和25名平民白帽黑客，发现了55个漏洞，共获得26,883美元奖金。

“黑了空军2.0”将持续到2018年1月1日，五眼联盟(美国、英国、澳大利亚、加拿大和新西兰)、北约成员国或瑞典的公民/长期居民，均可申请参加。也就是说，31个国家的人可以参与该项目——迄今为止最为开放的政府漏洞奖励项目。美国军方人员也可以参加，但没有获得奖金的资格。

尽管理论上这些国家的任何人都可以申请，却也不是每名申请者都能实际参与进来。名额只有600个，空军将根据申请者的HackerOne信誉评分选取70%的参加者，另外30%则随机选出。

空军CISO皮特·金称：“‘黑了空军’可以拓展我们的视野，让我们得以利用国家和盟友国的大量人才，巩固我们的国防。通过开放约300个面向公众的空军网站，我们大幅延伸了1.0版漏洞奖励项目的巨大成功。该合作关系的成本收益是无价的。”

“黑了空军2.0”是空军首个漏洞奖励项目成功的延续，首版项目为200多个有效漏洞报告，发出了13万美元的奖励。

美国国防部之前举办过的漏洞奖励计划包括：“黑了国防部”——付出奖金约7.5万美元；“黑掉陆军”——奖金总数约10万美元。国防部已经为其公开系统中发现的3000多个漏洞，付出了30多万美元的奖金。但该部门估测，漏洞奖励项目为其省去了数百万美元的损失。

大约在1年之前，国防部发布了一份漏洞揭露政策，旨在规范研究人员对该部门公开网站安全漏洞的揭露方式。虽然美元提供任何金钱奖励，该政策还是为漏洞报告铺开了合法道路。

(责任编辑：安博涛)