До 15 грудня додаток "Дія" атакуватимуть хакери

Міністерство цифрової трансформації України запускає багбаунті застосунку "Дія" з призовим фондом 1 млн грн.

З 8 грудня білі хакери з усього світу будуть "ламати" копію мобільного застосунку  та шукати вразливості. Про це повідомив віцепрем’єр-міністр — міністр цифрової трансформації Михайло Федоров на своїй сторінці у Facebook.

Захист даних — наш пріоритет. Ми отримали атестат КСЗІ на Дію 2.0. Успішно пройшли 2 пентести на виявлення вразливостей за підтримки проєкту USAID "Кібербезпека критично важливої інфраструктури в Україні" та Академії електронного урядування Естонії. Дія — найбільш безпечний продукт, який створювався за останні роки. Вона не зберігає персональні дані, а, по суті, є транзитною платформою, що відображає дані про вас з реєстрів, - запевнив міністр.

За його словами, програми багбаунті є передовою практикою на міжнародному рівні та зміцнюють довіру користувачів.

Читайте також

Зламай "Дію" та отримай 1 млн грн: Мінцифри запустило конкурс для хакерів

Також Федоров назвав деталі багбаунті:

•  Призовий фонд — 1 млн грн або 35 тисяч доларів. Білі хакери ламатимуть "тестовий застосунок". Ми створимо окреме середовище для пошуку багів, яке не буде містити персональні дані. Це не загрожує безпеці Дії.
• Реалізація багбаунті — за підтримки міжнародної платформи Bugcrowd та агентства з міжнародного розвитку США (USAID).
• Проєкт здійснюється у декілька етапів. Ми спираємося на досвід Prozorro. 8 грудня проводимо перший етап багбаунті. Платформа Bugcrowd обирає 50 кращих білих хакерів з усього світу. За допомогою технології Crowdmatch оберуть хакерів з навичками в рамках технологій, які ми використовуємо в "Дії", та хакерів з досвідом роботи з мобільними застосунками.
• До 15 грудня хакери будуть шукати вразливості. Інформацію про них проаналізують спеціалісти Bugcrowd та Дії. У разі її підтвердження буде виплачена винагорода.
• Як ділиться винагорода? По категоріях складності уразливості: 1-й рівень — до $3,500, 2-й — до $1,200, 3-й — до $600, 4-й — до $250.
• Виплати учасникам багбаунті засновані на результатах: чим серйозніша виявлена вразливість — тим більша виплата. Команда управління програмами Bugcrowd бере на себе практично всі операційні витрати, дозволяючи зосередитися на фактичному зниженні ризиків шляхом усунення виявлених вразливостей.

Міністр повідомив, що після завершення першого етапу продовжать цю практику і наступного року проведуть другий етап багбаунті з більшою тривалістю та можливістю будь-кому спробувати свої сили в тестуванні "Дії" на вразливості.

Нагадаємо, міністерство цифрової трансформації обіцяє до кінця року зробити доступним по всій Україні онлайн-сервіс єМалятко.

Згідно з повідомленням, комплексна послуга єМалятко буде доступною онлайн на порталі "Дія" по всій Україні вже до кінця 2020 року. Сервіс дозволить батьками отримати всі необхідні послуги для новонародженої дитини онлайн за 20 хвилин замість візитів до 11 державних установ та збору 37 документів.