З 16 серпня 2023 року знову працює програма Prozorro Bug Bounty: фахівців з кібербезпеки запрошують шукати вразливості у цій системі за винагороду. Програма запрацювала вперше після повномасштабного вторгнення. Про це AIN.UA повідомили у Prozorro.
Умови участі
Prozorro Bug Bounty організована державним підприємством «Прозорро» та електронними майданчиками E-Tender, SmartTender і Zakupki.Prom. Вперше пілотну програму з пошуку вразливостей на рівні центральної бази даних Prozorro провели ще 2019 року. Під час повномасштабного вторгнення програму призупинили і зараз відновлюють.
Вона діє на постійній основі. Координатором програми є компанія Cyber Unit Technologies. У межах Prozorro Bug Bounty вони відповідатимуть за валідацію вразливостей, знайдених етичними хакерами.
Пошук вразливостей у системі проходить у тестовому середовищі — копії центральної бази даних, порталу, інших компонентів Prozorro, а також електронних майданчиків. Учасники мають необхідні доступи, інструменти та необмежену кількість часу для пошуків вразливостей у Prozorro. Відповідно до знайдених вразливостей багхантер отримує грошову винагороду та потрапляє до рейтингу учасників на порталі публічних закупівель.
Розмір винагороди
Винагороду виплачують відповідно до рівня знайденої вразливості. Їх оцінюють по категоріях: від Р1, P2 і нижче. Вразливості категорій Р4 не винагороджуються, але по них нараховуються бали.
Наприклад, вразливості категорії P1 — це File Inclusion, RCE, SQL Injection, XXE, Authentication Bypass, Critically Sensitive Data, Command Injection, Hardcoded Password. За них пропонують винагороду в 28 000 грн. За вразливості категорії P2 (XSS (P2 specific), SSRF, CSRF (Application-Wide), Application-Level DOS (NOT DDOS), Hardcoded Password, Weak Password Reset Implementation) — 14 000 грн.
Детальнішу інформацію про умови участі та винагороду можна прочитати на офіційному сайті.
«Prozorro — це, мабуть, перша державна структура, що проводить Bug Bounty з початку повномасштабного вторгнення, і ми дуже чекаємо на етичних хакерів, які зможуть знайти вразливості у Prozorro і тим самим зробити систему стійкішою до кібератак», — прокоментував директор ДП «Прозорро» Микола Ткаченко.