С 16 августа 2023 года снова работает программа Prozorro Bug Bounty: специалистов по кибербезопасности приглашают искать уязвимости в этой системе за вознаграждение. Программа заработала впервые после полномасштабного вторжения. Об этом AIN.UA сообщили в Prozorro.
Условия участия
Prozorro Bug Bounty организована государственным предприятием «Прозорро» и электронными площадками E-Tender, SmartTender и Zakupki.Prom. Впервые пилотную программу по поиску уязвимостей на уровне центральной базы данных Prozorro провели еще в 2019 году. Во время полномасштабного вторжения программу приостановили и сейчас восстанавливают.
Она действует на постоянной основе. Координатором программы является компания Cyber Unit Technologies. В рамках Prozorro Bug Bounty они будут отвечать за валидацию уязвимостей, найденных этическими хакерами.
Поиск уязвимостей в системе проходит в тестовой среде – копии центральной базы данных, портала, других компонентов Prozorro, а также электронных площадок. Участники имеют необходимые доступы, инструменты и неограниченное количество времени для поисков уязвимостей в Prozorro. В соответствии с найденными уязвимостями багхантер получает денежное вознаграждение и попадает в рейтинг участников на портале публичных закупок.
Размер вознаграждения
Вознаграждение выплачивают в соответствии с уровнем найденной уязвимости. Их оценивают по категориям: от Р1, P2 и ниже. Уязвимости категорий Р4 не вознаграждаются, но по ним начисляются баллы.
Например, уязвимости категории P1 – это File Inclusion, RCE, SQL Injection, XXE, Authentication Bypass, Critically Sensitive Data, Command Injection, Hardcoded Password. За них предлагают вознаграждение в 28 000 грн. За уязвимости категории P2 (XSS (P2 specific), SSRF, CSRF (Application-Wide), Application-Level DOS (NOT DDOS), Hardcoded Password, Weak Password Reset Implementation) – 14 000 грн.
Более подробную информацию об условиях участия и вознаграждении можно прочитать на официальном сайте.
«Prozorro – это, пожалуй, первая государственная структура, которая проводит Bug Bounty с начала полномасштабного вторжения, и мы очень ждем этических хакеров, которые смогут найти уязвимости в Prozorro и тем самым сделать систему более устойчивой к кибератакам», – прокомментировал директор ГП «Прозорро» Николай Ткаченко.