La Agencia de Tecnología del Gobierno (GovTech) y la Agencia de Seguridad Cibernética de Singapur (CSA) han concluido con éxito el segundo Programa de Recompensa por Errores del Gobierno (BBP).
Como una actualización rápida, el primer BBP se llevó a cabo desde diciembre de 2018 hasta enero de 2019, donde más de 400 piratas informáticos de "sombrero blanco" encontraron 26 vulnerabilidades validadas en cinco sistemas con conexión a Internet con puntos de contacto de alto usuario.
Durante el primer BBP, los piratas informáticos obtuvieron un pago total de US $ 11,750.
Esta edición del BBP se llevó a cabo del 8 al 28 de julio de 2019, y cubrió nueve sistemas gubernamentales de TIC y servicios digitales con conexión a Internet con altos puntos de contacto de usuario: SingPass y MyInfo (GovTech); Sitio web y móvil de OneMap (Autoridad de Tierras de Singapur); Sitio web corporativo MASNET y MAS (Autoridad Monetaria de Singapur); Parents Gateway (Ministerio de Educación); y el servicio electrónico SGWorkPass mobile y Check Work Pass Status (Ministry of Manpower).
Este año, Se encontraron 31 vulnerabilidades validadas, y de los 31, cuatro se consideraron de "alta gravedad" y los 27 restantes fueron de "gravedad media / baja".
Todas las vulnerabilidades han sido remediadas.
Este año, Participaron 290 investigadores de ciberseguridad locales y extranjeros y hackers de sombrero blanco. 70 de ellos eran singapurenses, de los cuales 30 participaron en el primer BBP.
La recompensa total pagada este año fue de US $ 25,950 (~ S $ 35,880).
Siete de los 10 mejores recompensas participantes eran singapurenses.
El principal pirata informático de sombrero blanco fue el “astronauta espacial” de Singapur NSF Eugene, de 24 años, quien encontró 9 vulnerabilidades y recibió US $ 8,500 (S $ 11,752) en recompensa.
Actualmente sargento de logística en las Fuerzas Armadas de Singapur, había interrumpido su servicio nacional en 2014 por sus estudios en la Universidad de Yale, donde realizó ciencias de la computación e historia.
En una entrevista con The Straits Times, compartió que solo comenzó a aprender piratería el año pasado al "buscar recursos gratuitos en línea".
Agregó que le resultaba un desafío hacer malabares con sus deberes como NSF mientras participaba en el BBP.
"Como NSF, mi primer compromiso es con mis deberes militares y solo tengo tiempo para cazar los fines de semana".
Trabajará como funcionario público al completar NS el próximo año, y expresó que tiene planes de participar en más programas de recompensas de errores.
"Es una excelente manera de obtener experiencia práctica en seguridad de la información. Hay muchos tipos diferentes de recompensas de errores, incluidas aplicaciones móviles y nativas, por lo que siempre hay algo nuevo que aprender ".
El BBP de este año también vio el lanzamiento de un Programa de divulgación de vulnerabilidad (VDP) el 1 de octubre.
El VDP invita a los miembros del público a identificar e informar sobre el descubrimiento de vulnerabilidades encontradas en todas las aplicaciones gubernamentales y móviles basadas en Internet del gobierno.
Los miembros del público pueden optar por utilizar el enlace de divulgación de vulnerabilidad ("Informe de vulnerabilidad") incorporado en todas las páginas web y aplicaciones móviles del gobierno o enviar un correo electrónico a [email protected] con detalles de la vulnerabilidad sospechada.
Descubre más sobre el VDP aquí.