หลังจากที่กองทัพสหรัฐเปิดโปรแกรม Bug Bounty Program เพื่อให้บุคคลที่ได้รับเชิญเข้ามา (Security Researcher, Hacker, etc.) แจ้งช่องโหว่ของทางกองทัพสหรัฐตั้งแต่วันที่ 21 ธันวาคม 2016 ที่ผ่านมา ถือว่าประสบผลสำเร็จระดับหนึ่งเลยทีเดียว ผลจากโปรแกรมดังกล่าวทำให้กองทัพสหรัฐอุดช่องโหว่ไปถึง 118 ช่องโหว่ และจ่ายเงินให้กับผู้ที่พบช่องโหว่รวมทั้งหมดถึง 100,000$

โดยกองทัพกล่าวว่ามีการแจ้งเตือนช่องโหว่มามากเกินกว่า 400 ช่องโหว่ มี 118 อันที่ค่อนข้างจะแตกต่างและใช้งานได้ทันที ทางกองทัพได้เชิญบุคคลเข้ามาร่วมหาช่องโหว่ถึง 371 คน มี 25 คนมาจากรัฐบาล และ 17 คนที่เป็นทหาร

ทางกองทัพได้ยกตัวอย่างปัญหาหนึ่งคือ ช่องโหว่ 2 ช่องโหว่ที่พบใน goarmy.com ซึ่งจากการใช้ช่องโหว่ทั้ง 2 ทำให้สามารถเข้าถึง network ภายในโดยไม่จำเป็นต้อง authentication ได้

“พวกเค้าเข้าผ่าน proxy ที่เปิดอยู่ ซึ่งเป็นทางที่ควรปิดแต่ไม่ได้ปิดอยู่ จากนั้นจึงเข้าถึงภายในได้ ซึ่งเป็นผลที่เกิดจากช่องโหว่ของ proxy และระบบภายในเอง” “เอาจริงๆถ้าแยกช่องโหว่ทั้ง 2 ออกจากกัน มันก็ดูไม่น่าสนใจอะไร แต่เมื่อรวมมันเข้าด้วยกันมันกลายเป็นช่องโหว่ที่ร้ายแรงมากๆขึ้นมาเลยทีเดียว”

Source:: Threatpost.com