Минцифры анонсировало запуск второго этапа багбаунти приложения «Дія», который продлится 6 месяцев и будет ориентирован на поиск уязвимостей в системе «Дія.Підпис». Как и в прошлый раз, багбаунти проходить на платформе Bugcrowd, но теперь участвовать может любой желающий просто зарегистрировавшись по ссылке.


Поиск уязвимостей в «Дія.Підпис»

Как отметили в Минцифре, приоритетом этого этапа станет тестирование «Дія.Підпис» (о котором AIN.UA уже писал) и проверка системы создания и шеринга электронных копий документов.

«Мы понимаем, что невозможно выстроить суперзащиту один раз и быть уверенным, что никто не сможет ее сломать. Вопрос киберзащиты нуждается в постоянном обновлении решений. Именно это мы и делаем, запуская багбаунти «Дія», и даем возможность каждому протестировать защищенность приложений и убедиться, что цифровые документы и сервисы — это безопасно. За каждый найденный баг вы получите вознаграждение. Мы делаем все для того, чтобы защитить государственные сервисы и выстроить доверие украинцев к ним», — отметил Михаил Федоров.

Кто может поучаствовать

В декабре Минцифра проводила первый этап багбаунти. В нем участвовали «этические хакеры» — специалисты по поиску программных недостатков. Это понравилось не всем: смущала непрозрачность отбора участников. Тогда отбором занималась непосредственно команда Bugcrowd, которая выбрала 50 хакеров из своей базы. А зарегистрироваться любому желающему было нельзя.

На этот раз Минцифра ввела новые правила и открыла багбаунти для всех желающих.

«На этот раз запускаем второй этап багбаунти новым правилам. Проведем открытый для всех желающих багбаунти, в котором сможет принять участие каждый (независимо от опыта и квалификации)», — говорится в сообщении министерства.

Регистрация — по ссылке.

Что тогда, что сейчас багбаунти проходил на платформе Bugcrowd.

Призовой фонд

Программа багбаунти предусматривает вознаграждение за каждую найденную уязвимость в коде. Второй этап имеет общий призовой фонд в 1 млн грн ($ 35 000). Все найденные уязвимости будут проанализированы командой специалистов Минцифры и в зависимости от критичности найденной уязвимости хакеру будет выплачиваться соответственное вознаграждение.

«Награда будет делиться по нескольким категориям сложности: при обнаружении минимальной уязвимости (P5) — вознаграждение составит от $200 до $250, а за критическую уязвимость (P1) уже от $4100 до $4500», — рассказали в Минцифре.