Prozorro возобновляет программу Bug Bounty: как принять участие и сколько платят

С 16 августа 2023 года снова работает программа Prozorro Bug Bounty: специалистов по кибербезопасности приглашают искать уязвимости в этой системе за вознаграждение. Программа заработала впервые после полномасштабного вторжения. Об этом AIN.UA сообщили в Prozorro.

Условия участия

Prozorro Bug Bounty организована государственным предприятием «Прозорро» и электронными площадками E-Tender, SmartTender и Zakupki.Prom. Впервые пилотную программу по поиску уязвимостей на уровне центральной базы данных Prozorro провели еще в 2019 году. Во время полномасштабного вторжения программу приостановили и сейчас восстанавливают.

Она действует на постоянной основе. Координатором программы является компания Cyber Unit Technologies. В рамках Prozorro Bug Bounty они будут отвечать за валидацию уязвимостей, найденных этическими хакерами.

Поиск уязвимостей в системе проходит в тестовой среде — копии центральной базы данных, портала, других компонентов Prozorro, а также электронных площадок. Участники имеют необходимые доступы, инструменты и неограниченное количество времени для поисков уязвимостей в Prozorro. В соответствии с найденными уязвимостями багхантер получает денежное вознаграждение и попадает в рейтинг участников на портале публичных закупок.

Размер вознаграждения

Вознаграждение выплачивают в соответствии с уровнем найденной уязвимости. Их оценивают по категориям: от Р1, P2 и ниже. Уязвимости категорий Р4 не вознаграждаются, но по ним начисляются баллы.

Например, уязвимости категории P1 — это File Inclusion, RCE, SQL Injection, XXE, Authentication Bypass, Critically Sensitive Data, Command Injection, Hardcoded Password. За них предлагают вознаграждение в 28 000 грн. За уязвимости категории P2 (XSS (P2 specific), SSRF, CSRF (Application-Wide), Application-Level DOS (NOT DDOS), Hardcoded Password, Weak Password Reset Implementation) — 14 000 грн.

Более подробную информацию об условиях участия и вознаграждении можно прочитать на официальном сайте.

«Prozorro — это, пожалуй, первая государственная структура, которая проводит Bug Bounty с начала полномасштабного вторжения, и мы очень ждем этических хакеров, которые смогут найти уязвимости в Prozorro и тем самым сделать систему более устойчивой к кибератакам», — прокомментировал директор ГП «Прозорро» Николай Ткаченко.