2 декабря 2020 года вице-премьер, министр-министр цифровой трансформации Михаил Федоров анонсировал запуск программы Bug Bounty приложения «Дія». Он пройдет с 8 по 15 декабря 2020 года на американской платформе Bugcrowd.

Однако выбор платформы устраивает не всех в комьюнити украинских этических хакеров.

Во-первых, белых хакеров смущает непрозрачность отбора участников. Как сообщили в Минцифры, отбором займется непосредственно команда Bugcrowd – выберут до 50 хакеров из своей базы. Зарегистрироваться любому желающему нельзя.

Во-вторых, в Украине есть аналоги Bugcrowd, которые не уступают американской платформе ни по качеству, ни по комьюнити хакеров, а стоят дешевле. По крайней мере, так утверждают разработчики.

Почему не украинцы?

СЕО Hacken Group, в которую входит украинская багбаунти-платформа HackenProof (ее использовали, в частности, для багбаунти Prozorro) Дмитрий Будорин сообщил редактору AIN.UA, что изначально Минцифры планировали использовать их продукт, однако потом передумали.

«Объявить багбаунти через HackenProof планировали еще 16 мая 2020 года – накануне мы утвердили пресс-релиз. Но прошло три дня – ничего не опубликовали. Нам объяснили, что из-за проволочек с американскими спонсорами запуск багбаунти откладывается. Но мы не переживали, потому что с Prozorro было то же самое. Только время шло, новостей не было, а потом в октябре Минцифры нам сообщили, что теперь будут проводить тендер с участием американских компаний», – рассказал Дмитрий.

По его словам договоренности были устные, меморандум не подписывали. Тем не менее, с ведомством были уже согласованы все цифры – бюджеты на хакеров и комиссия HackenProof.

Однако в декабре Минцифры объявило, что партнером багбаунти будет американская Bugcrowd. Тендер не проводился.

«Именно так работает американская помощь – они дают деньги, чтобы подсаживать на американские продукты. Мы сразу поняли, куда дует ветер, но все же надеялись на честную конкуренцию – ведь у нас полно преимуществ: 

  • мы бы развернули на серверах Минцифры (Bugcrowd это, конечно, делать не будет, а это критически важно, так как именно BugCrowd будет первым знать о уязвимостях);
  • украинская компания – развитие местных продуктов;
  • украинский язык – на Bugcrowd нет и не будет;
  • наша цена в разы меньше;
  • хакеры – те же, что и у Bugcrowd»,

– пояснил Будорин.

Что говорят в Минцифры

В ведомстве ситуацию видят по-другому. AIN.UA отправил соответствующий запрос и получил ответ от первого заместителя Министра цифровой трансформации Алексея Выскуба. По его словам, команда «Дія» не планировала реализовывать багбаунти на украинской площадке HackenProof. Он также отметил, что в среди украинских багбаунти-площадок царит “нездоровая конкуренция”.

«Мы вели общение со многими площадками для изучения опыта и методологий, в том числе и с HackenProof, потому что у нас к «Дія» огромное внимание. И даже консультируясь с отдельными украинскими площадками, мы чувствовали нездоровую конкуренцию – провели встречу с представителями одной площадки, вторые сразу пишут, что это будет не багбаунти, а имитация. И так каждый про каждого, – прокомменировал Алексей Выскуб.

Поэтому решили попросить помощи у USAID выбрать мирового лидера, к которому точно ни у кого не будет вопросов как внутри страны, так и вне».

Как уточнили в Министерстве, программа финансируется за счет Bugcrowd и агентства по международному развитию США (USAID). Там также добавили, что это только первый этап багбаунти. Второй этап запланирован на 2021 год. При этом, продолжительность самой программы увеличат, а регистрация будет открытой.