💳 Потрібна європейська картка з лімітом 50к євро? Встановлюй Trustee Plus 👉

Знайдете баг — отримаєте винагороду від ПУМБ. Тестуйте кібербезпеку сервісів банку

Українські айтівці мають змогу заробити на виявленні потенційних багів у системі одного з провідних банків країни. Розповідаємо, хто може долучитися, який досвід отримати та скільки заробити. 

Залишити коментар
Знайдете баг — отримаєте винагороду від ПУМБ. Тестуйте кібербезпеку сервісів банку

Українські айтівці мають змогу заробити на виявленні потенційних багів у системі одного з провідних банків країни. Розповідаємо, хто може долучитися, який досвід отримати та скільки заробити. 

Довідка

Перший Український Міжнародний Банк (ПУМБ) —  провідний і найбільший український банк із приватним капіталом. Банк 33 роки стабільно працює на ринку України та пропонує своїм клієнтам вигідні фінансові продукти та сервіси. Сьогодні ПУМБ входить до десяти найбільших банків України за ключовими фінансовими показниками та є системно важливим банком України, уповноваженим на зберігання готівки НБУ. 

Курс на розвиток

ПУМБ реалізує стратегію розвитку інформаційної безпеки та системно інвестує в покращення своєї кібербезпеки, адже доступність клієнтських сервісів має перебувати під постійним захистом. Раніше ПУМБ щороку проводив незалежні перевірки ефективності кіберзахисту, включаючи пентести від кращих компаній на ринку. З часом фахівці фінустанови зрозуміли, що цього замало, і вирішили перейти до формату Bug bounty. «У такого підходу декілька переваг: можливість залучити значно більшу кількість хакерів з великого ком’юніті професіоналів, формат змагання, можливість перевірити себе, знайти слабкі місця в системах, які вважаються захищеними додатково мотивує учасників», ― пояснюють в ПУМБ.

З липня 2024 року в ПУМБ діє нова програма для виявлення вразливостей. «Цей крок підкреслює відповідальність банку за захист інфраструктури, фінансових активів клієнтів і забезпечення безперебійної роботи банківських систем», ― розповідає Сергій Грома, директор Департаменту інформаційної безпеки ПУМБ.

Програма Bug Bounty ПУМБ дає змогу етичним хакерам і дослідникам у сфері кібербезпеки допомагати у виявленні потенційних вразливостей, за що передбачені грошові винагороди. 

Винагороди від ПУМБ

Розмір винагороди може складати до $2000 залежно від рівня важливості виявлених проблем.

За словами Сергія Громи, програма створює сприятливі умови для співпраці з глобальною спільнотою кіберекспертів, сприяючи зміцненню безпеки банку.

За пів року роботи програми ПУМБ вже отримав понад 240 репортів про потенційні вразливості в інфраструктурі, вебсайтах, API та мобільних застосунках. Активне баг-баунті ком’юніті системно допомагає банку виявляти й усувати можливі ризики. 

HackenProof — надійний партнер для ПУМБ

Обираючи підрядника в такій відповідальній справі, ПУМБ розглядав кілька лідерів ринку. «Перша Bug Bounty програма була реалізована на платформі HackerOne, яка допомогла банку познайомитися зі спільнотою хакерів та оцінити всі переваги Bug bounty», ― розповідає Сергій Грома.

Довідка

HackenProof — це платформа для виявлення вразливостей у цифрових продуктах, таких як криптобіржі, блокчейн-протоколи та смартконтракти й інші. HackenProof є провідною платформою для перевірки безпеки у сфері криптовалют та технологій. Її використовують Ethereum Foundation, Aptos, Polygon, Near, Sui, MetaMask, TON Foundation, OKX, Status та ще понад 155 інших проєктів. На платформі HackenProof вже зареєстровано понад 35 000 хакерів, які подали 17 710 звітів по вразливості.

Наразі ПУМБ відкриває для тестування багато своїх сервісів, доступних звичайним клієнтам. Водночас є сервіси, доступ до яких надається лише перевіреним спеціалістами HackenProof хантерам.

«Ми обрали платформу HackenProof за її орієнтованість на українську спільноту хакерів, що об’єднує багато талановитих фахівців. Завдяки цій співпраці та активності хантерів за три роки вдалося виявити й усунути близько 30 вразливостей різного рівня, виплативши винагороди талановитим хакерам. Додатковою перевагою є послуга тріажу: співробітники HackenProof ретельно перевіряють знайдені вразливості перед їх передачею банку. Це дозволяє нам фокусуватися на розв’язання критичних питань безпеки», ― зазначають у ПУМБ.

Класифікація багів у програмі Bug Bounty базується на рівні загрози, яку вони можуть створити для системи, користувачів або даних. Цей рівень визначає потенційний вплив вразливості та відповідно розмір винагороди

Фахівці HackenProof зустрічались із хакерами та розробниками банку офлайн, щоби розібрати знайдені вразливості, обговорити їхні деталі та вплив на сервіси банку. «Ця подія ще раз показала ефективність прямої співпраці між банком та спільнотою фахівців із кібербезпеки, дозволивши знайти практичні рішення для посилення захисту банківських сервісів», ― зазначають у ПУМБ.

Як стати білим хакером для ПУМБ і не тільки

Долучитися до спільноти білих хакерів, що шукають баги в сервісах ПУМБ, може кожен кваліфікований фахівець. Участь у програмі не потребує проходження тестів або перевірки рівня знань. Проте якість звітів і ефективність роботи хакера безпосередньо впливають на його успіх та винагороди.

Для цього потрібно пройти кілька етапів відбору: 

  1. Попередньо зареєструватися на платформі, де розміщена програма. Платформа, на якій організовуються баг-баунті програми, розміщує детальний опис кожної програми із зазначенням переліку вразливостей для пріоритетного пошуку. Що вищий рівень загрози від вразливості, то більшу винагороду отримає білий хакер.
  2. Обрати програму з детальним описом вразливостей, які є пріоритетними для замовника. Білий хакер може зареєструватися на кількох платформах одночасно та брати участь у різних програмах. Наприклад, платформа HackenProof станом на кінець 2024 року пропонує 155 активних баг-баунті програм, де за виявлення критичних вразливостей винагороди можуть сягати $1 млн.
    Ці програми підходять для всіх, хто цікавиться кібербезпекою: як для професіоналів із досвідом у сфері етичного хакінгу, так і для початківців, які хочуть навчитися виявляти вразливості.
  3. Знайти вразливості в межах обраної програми.
  4. Подати звіт через платформу з описом вразливості та пропозицією щодо її усунення. Виявивши вразливість у продукті, користувач має надіслати доповідь, яка опрацьовується командою платформи. У доповіді користувач описує виявлену вразливість та зазначає варіанти її виправлення.
  5. Дочекатися перевірки звіту платформою на унікальність і важливість.
  6. Команда аналізує доповідь на предмет повторення вразливості, а також важливості, адже доповіді можуть і не містити цінної інформації та охоплювати, скажімо, суто «косметичні» правки.
  7. Якщо звіт є цінним і допомагає усунути вразливість, хакеру виплачується винагорода. Якщо звіт повторює вже відомі проблеми або стосується дрібних недоліків, винагорода не передбачена. Перед тим як отримати винагороду, кожен учасник має пройти процедуру KYC (Know Your Customer). Це необхідно для того, щоб запобігти можливому зловживанню виявленими вразливостями та уникнути ризику їх використання у зловмисних цілях.

Перевірте свої вміння. Тестуйте продукти та сервіси ПУМБ та отримуйте за це винагороду

Підключай Megogo зі знижками за акційними тарифами.

від 99 гривень на місяць

Читайте також
Як ламають відео-ігри та викладають їхні піратські копії? Розповідає програміст
Як ламають відео-ігри та викладають їхні піратські копії? Розповідає програміст
Як ламають відео-ігри та викладають їхні піратські копії? Розповідає програміст
Що, юний хакер, тобі цікаво, які ігри ще досі не крякнули? Тоді мерщій читай цю статтю. Нижче ми розглянемо, які технології використовуються для захисту ігор від злому. Також не пройдемо повз рекордсменів. Дізнаємося про рекордний час, за який вдалося зламати гру. Та розглянемо справжніх «міцних горішків».
1 коментар
Шахраї грабують українців від імені «Дії» та Зеленського: перелік сайтів
Шахраї грабують українців від імені «Дії» та Зеленського: перелік сайтів
Шахраї грабують українців від імені «Дії» та Зеленського: перелік сайтів
1 коментар
Кіберполіцейські розробили онлайн-гру, що допоможе дітям виробити навички безпечної поведінки в інтернеті: як скачати
Кіберполіцейські розробили онлайн-гру, що допоможе дітям виробити навички безпечної поведінки в інтернеті: як скачати
Кіберполіцейські розробили онлайн-гру, що допоможе дітям виробити навички безпечної поведінки в інтернеті: як скачати
Пишуть, що Signal зламали. Насправді - ні. Як захистити дані в месенджері - поради експерта з кібербезпеки
Пишуть, що Signal зламали. Насправді - ні. Як захистити дані в месенджері - поради експерта з кібербезпеки
Пишуть, що Signal зламали. Насправді - ні. Як захистити дані в месенджері - поради експерта з кібербезпеки

Хочете повідомити важливу новину? Пишіть у Telegram-бот

Головні події та корисні посилання в нашому Telegram-каналі

Обговорення
Коментарів поки немає.