Araştırmacılar, MoD sistemlerinde buldukları herhangi bir kusuru bildirmeye teşvik edilir, ancak sosyal mühendislik veya kimlik avı saldırılarına karışmamalıdırlar.

Savunma Bakanlığı (MoD), beyaz şapka bilgisayar korsanlarının , kovuşturma korkusu olmadan Birleşik Krallık hükümet departmanına güvenlik açıklarını ifşa edebilecekleri kendi hata ödül programını başlattı .

HackerOne ile ortaklık kuran MoD, güvenlik araştırmacılarının Birleşik Krallık savunma makamları tarafından yönetilen sistemler veya platformlardaki herhangi bir hata veya kusuru bildirmek için kullanabilecekleri bir başvuru formu yayınladı . Genellikle özel şirketler tarafından yürütülen hata ödül programlarının aksine, ifşa edilebilecek herhangi bir parasal ödül yoktur.

MoD sistemiyle ilgili bir güvenlik açığı bulan araştırmacılar , web sitesi IP’sinin veya güvenlik açığının gözlemlenebileceği sayfanın ayrıntılarını, doğasının kısa bir açıklamasını ve yeniden oluşturma adımlarını eklemelidir. Bunlar iyi huylu ve tahribatsız bir kavram kanıtı olmalı ve raporun hızlı ve doğru bir şekilde önceliklendirilebilmesini sağlamak için çalışmalıdır.

MoD, “Herhangi bir MOD sisteminde bir güvenlik açığı bulduğunuza inanıyorsanız, Hacker One’ı kullanarak bildirimde bulunabilirsiniz: bir güvenlik açığı raporu gönderin,” dedi. Herhangi bir güvenlik açığını bildirmeden önce bu ifşa politikasını tamamen okumanızı öneririz. Bu, politikayı anlamanıza ve ona uygun hareket etmenize yardımcı olur.

“Bu politika, yaygın güvenlik açığı ifşası iyi uygulamalarıyla uyumlu olacak şekilde tasarlanmıştır. Yasalara aykırı olan veya MOD veya ortak kuruluşların herhangi bir yasal yükümlülüğü ihlal etmesine neden olabilecek herhangi bir şekilde hareket etmenize izin vermez. “

Bir rapor gönderdikten sonra, MoD beş iş günü içinde yanıt verecek ve raporu on iş günü içinde önceliklendirmeyi hedefleyecektir. Bir hesap için kaydolduysanız, bir temsilci HackerOne aracılığıyla süreç boyunca ilerlemesi hakkında sizi bilgilendirecektir.

On günlük süreç sona erdikten sonra, iyileştirme önceliği, etki, ciddiyet ve istismar karmaşıklığına göre değerlendirilecektir. Öncelik olarak kabul edilmedikleri takdirde bazı kusurların ele alınması zaman alabilir ve araştırmacılar raporlarının durumu hakkında bilgi alabilirler. Ancak MoD, en fazla iki haftada bir giriş yapmaları gerektiğini vurguladı.

Ardından MoD, güvenlik açığı giderildiğinde , araştırmacıların çözümün sorunu yeterli şekilde düzelttiğini onaylamaları için davet edilerek rapor verecektir . Gelecekteki kamuyu aydınlatma düzenlemeleri, daha sonra araştırmacılar ve Kalkınma Bakanlığı arasındaki koordinasyona tabi olacaktır.

Bununla birlikte, bir güvenlik açığını bildirmek isteyen araştırmacılar, bir dizi katı protokole uymalıdır. Örneğin, herhangi bir yasayı çiğnememeli, önemli miktarda veriye erişmemeli, MoD sistemlerindeki verileri değiştirmemeli, herhangi bir sistemi bozmamalı, yıkıcı tarama aracını yüksek yoğunluklu istilacı kullanmamalı veya herhangi bir hizmet reddine teşebbüs etmemelidirler . 

Ayrıca sosyal mühendislik veya kimlik avı uygulamaları, güvenlik açıklarını ifşa etmek için finansal tazminat talep etmek, yararlanılamayan kusurları ayrıntılarıyla anlatan raporlar göndermek veya TLS yapılandırma zayıflıklarını ayrıntılarıyla anlatan raporlar sunmaktır. 

MoD, politikasının endüstri çapındaki yaygın güvenlik açığı ifşa uygulamaları ile uyumlu olduğunu ve beyaz şapka bilgisayar korsanlarına veya güvenlik araştırmacılarına yasalara aykırı herhangi bir şekilde hareket etme izni vermediğini iddia ediyor.

Bununla birlikte, hükümet dairesi, iyi niyetle ve ifşa politikasına uygun olarak hareket ettikleri MoD hizmetleri veya sistemleri üzerindeki güvenlik açıklarını rapor eden herhangi bir araştırmacının yargılanmasını istemeyecektir.