Электронная система публичных закупок Prozorro объявила о запуске Bug Bounty. Она предусматривает систему рейтинга и денежных выплат багхантерам за найденные уязвимости.
Электронная система публичных закупок Prozorro объявила о запуске Bug Bounty. Она предусматривает систему рейтинга и денежных выплат багхантерам за найденные уязвимости.
В 2019 году Prozorro провели первый Bug Bounty в тестовом режиме и стали одними из первых государственных предприятий с такой системой.
В 2020 году программу поиска уязвимостей запустили на постоянной основе, но были вынуждены приостановить из-за полномасштабного российского вторжения. С 16 августа 2023 года Bug Bounty возобновляет работу.
«Ты — „нравственный хакер“, мы — государственная ИТ-система, ты мечтаешь ее сломать, мы готовы дать тебе возможность ее воплотить!», — призывает объявление
В Prozorro считают, что система поможет сделать защиту данных более крепкой и устойчивой к кибератакам. Отмечается, что все происходит в правовом поле, поскольку багхантеры будут работать в pre-production environment (тестовая среда).
Участникам будет доступна копия центральной базы данных, официальный портал, кабинет Антимонопольного комитета Украины, кабинет Государственной аудиторской службы, площадки, вовлеченные в программу Bug Bounty.
Уязвимости разделены на несколько категорий в зависимости от сложности и серьезности бага. Больше всего можно получить за найденные уязвимости категории P1 — 28 000 грн. Меньше платят за баги ранга P3 — 8 400 грн.
Категории уязвимостей P4 пока не оплачиваются, а P5 даже не принимаются. Подробности относительно уязвимостей и вознаграждений можно узнать здесь.
Кроме того, за найденные баги начисляются баллы, основанные на рейтинге участников. Первому, кто обнаружит новый баг, насчитывают от 12 до 100 баллов и от 2 до 25 за дубликат.
«Государственные IT-системы и реестры были и будут еще долго оставаться основной целью для кибератак нашего врага. И благодаря программам Bug Bounty украинские специалисты по кибербезопасности могут искать и устранять уязвимости до того, как их заметят российские хакеры», — приводит слова директора Prozorro Николая Ткаченко издание DOU
Он добавил, что в сервисе «очень ждут этических хакеров», которые смогут найти уязвимости у Prozorro и сделать систему более устойчивой к кибератакам.
Сообщается, что во время предыдущих Bug Bounty специалисты по кибербезопасности обнаружили более 100 уязвимостей, которые были вовремя устранены. В 2021 году Prozorro выплатила «белым» хакерам 234 000 грн за поиск багов.
