«Зламати «Дію»: Мінцифри запустив багбаунті з призовим фондом 1 млн грн

Стартував перший етап багбаунті мобільного застосунку «Дія», другий етап планують провести наступного року. Про це поінформували у Міністерстві цифрової трансформації України.

«1 мільйон гривень або 35 тисяч доларів тим, хто знайде вразливість у Дії. Це буде челендж для білих хакерів з усього світу на платформі Bugcrowd»,-  розповіли у відомстві.

Тестування триватиме до 15 грудня.

«Мета Мінцифри — зробити так, щоб українці були впевнені в захищеності своїх персональних даних та довіряли нашим сервісам. Ми постійно підтверджуємо захищеність застосунку», – зазначили у Міністерстві.

Призовий фонд 1 мільйон гривень.

Це можливість для білих хакерів з усього світу «зламати» копію застосунку і знайти уразливості в Дії 2.0.

«Умови багбаунті прості: чим серйозніша вразливість, тим більша виплата. У кожній категорії складності може бути кілька спеціалістів, які знайдуть уразливості. Тому комісія розробників прийматиме рішення щодо виділення коштів після того, як баги будуть виявлені. У будь-якому разі ми уважно розглянемо кожну вразливість і баг та нагородимо кожного хакера, який знайде недоліки в тестовому застосунку Дія»,-  пояснили у Мінцифри.

Винагороду поділять за декількома категоріями складності уразливості: перший рівень складності – до $3,500, другий – до $1,200, третій – до $600, а четвертий – до $250.

У процесі багбаунті білі хакери матимуть доступ до фактично копії продуктового середовища, за виключенням доступу до державних реєстрів та інших інформаційних систем. Це дозволить максимально уникнути можливості витоку вразливостей.

«Важливо розуміти різницю між білими хакерами, яких ми запрошуємо на багбаунті, та чорними хакерами. Чорні — це ті, які займаються зламом інформаційних систем з метою шахрайства, щоб заробити на викрадених даних. Загалом уся система білого хакінгу побудована в такий спосіб, щоб неможливо було вкрасти будь-які дані. Білі хакери високо цінують свою репутацію і публічні професійні рейтинги. А ті, хто займається чорним хакерством, завжди уникають будь-якої публічності»,-  додали у Міністерстві.

Bugcrowd бере на себе практично всі операційні витрати, що дозволить команді Мінцифри зосередитися на усуненні виявлених вразливостей, якщо такі будуть.

Після завершення першого етапу багбаунті планується продовжувати цю практику і надалі.

Вже наступного року проведуть другий етап, який триватиме довше і надасть можливість кожному фахівцю з кібербезпеки спробувати свої сили в тестуванні Дії на вразливості.

 

Вы можите оставить комментарий, или поставить трэкбек со своего сайта.

Написать комментарий

XHTML: Вы можете использовать эти теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*