美国国土安全部的第一个漏洞赏金计划导致发现和披露了 122 个漏洞，其中 27 个被认为是关键漏洞。

总共有 450 多名安全研究人员参与了 Hack DHS 计划，并确定了“精选”外部国土安全部 (DHS) 系统的弱点。在 hack-a-thon 结束时，该部门向这些经过仔细审查的漏洞猎手颁发了总计 125,600 美元的奖金，用于发现和披露漏洞，考虑到谷歌已经为类似的漏洞支付了数百万美元，这相对便宜。我们注意到，更多的现金将来自国土安全部。

“安全研究人员社区在 Hack DHS 第一阶段的热情参与使我们能够在关键漏洞被利用之前发现并修复它们，”国土安全部首席信息官 Eric Hysen在一份声明中说 。

DHS 没有立即回应The Register关于通过 Hack DHS 发现和修复的漏洞的问题。

该部门在 12 月宣布了该计划，并仿照国防部的黑客攻击五角大楼以及私人漏洞赏金工作，例如由亚马逊、微软、谷歌和几乎所有其他主要技术公司运营的项目。

Hack DNS 遵循了该部门在 2019 年作为《安全技术法案》的一部分试用的试点漏洞赏金计划。DHS 还为任何面向公众的信息系统资产中的Log4j漏洞报告提供悬赏，这“使该部门能够识别和关闭未通过其他方式出现的漏洞”，该组织在一份声明中表示。

漏洞赏金计划分为三个阶段，所有阶段都将在年底前完成。支付标志着第一阶段的结束。在第二阶段，经过部门审查的安全研究人员将参加现场的现场黑客活动。

在第三阶段，国土安全部将确定可以帮助分享未来漏洞赏金计划的经验教训。Hack DHS 的目标是创建一个可供其他政府组织用来提高其网络安全弹性的模型。

国土安全部部长亚历杭德罗·马约卡斯（Alejandro Mayorkas）在一份声明中说：“黑客 DHS 强调了我们部门以身作则并保护我们国家的网络和基础设施免受不断演变的网络安全威胁的承诺。”

网络犯罪分子也在寻找漏洞
上周发布的两份报告发现，积极利用的零日漏洞在去年创下历史新高。

Mandiant在 2021 年发现了80 个此类被积极滥用的漏洞，该安全商店的研究员 James Sadowski 指出，这是 2019 年之前零日记录的两倍多。

谷歌上周发布的另一份零日报告称，不法分子利用了 58 个零日。与此同时，微软最近表示，将通过其漏洞赏金计划为其 Office 365 产品中的“高影响”漏洞支付更多费用，最高可达 26,000 美元。

根据 Redmond 软件巨头的说法，对Dynamics 365 和 Power Platform 赏金计划和M365 赏金计划的新“基于场景”的支出旨在激励漏洞猎手专注于发现“对客户隐私和安全性潜在影响最大”的漏洞.