國防部今年初推出懸賞計劃找出多個網絡安全漏洞,計劃現在擴展至不同政府部門。新一輪懸賞計劃邀請約300名海內外白帽黑客,“攻擊”五個政府網站,每找到一個漏洞最多可得1萬美元。
每個漏洞懸賞高達萬余元
政府科技局(GovTech)和新加坡網絡安全局昨天(12月21日)聯合發出文告說,每一個漏洞的賞金介于250至1萬美元(約340元至1萬3680元),獎金多寡取決于漏洞的嚴重性。找出漏洞後,會通知相關部門補上缺口。
這項政府漏洞懸賞計劃(Government Bug Bounty Programme)爲期三個星期,從這個月開始至明年1月結束。
白帽黑客會在這期間攻擊五個指定政府系統和網站,它們都跟網絡連接,是公衆常使用的網站,包括:gov.sg網站、民情聯系組(REACH)網站、通訊及新聞部的媒體認證申請網站,以及外交部和外交部eRegister網站。
當局會在明年3月公布抓漏結果,並打算進一步擴大範圍,納入更多政府資訊通信科技系統和網站。
白帽黑客是一群善意黑客,他們利用黑客技術,協助當局測試網絡及系統性能。白帽黑客也必須遵守一套規則,不得作出危害網站的行爲。
政府科技局和網安局雇用國際知名漏洞衆測公司HackerOne,由公司安排和管理參與的白帽黑客。
政府科技局發言人受詢時透露,受邀的白帽黑客有約300人,當中三分之一來自新加坡。爲了防止過程中有人由善轉惡,發言人說,所有參與者都必須跟HackerOne注冊,公司會嚴厲審查他們的資曆和信譽。
此外,政府科技局和網安局也會在這期間加強監管,以便在出現異常情況時立即反應。
國防部今年初的漏洞懸賞計劃同樣由HackerOne負責,這家公司過去曾承接美國五角大樓、陸軍和空軍系統的抓漏計劃。
文告指出,新加坡政府一直努力打造一個安全且具韌性的智慧國,隨著網絡襲擊事件規模越來越大、越來越複雜,漏洞懸賞計劃有助建立一個創新的網絡生態環境。
“計劃能吸引擁有廣泛技能的專才協助找出政府網絡的盲點,讓我國的網絡防禦能力可以跟國際黑客抗衡。”
17名海內外白帽黑客在今年1月至2月間攻破國防部的網絡防線,並找出35個網絡安全漏洞。國防部最後共發出了1萬4750美元(約1萬9470新元)獎金。