Минцифры заплатит миллион гривен хакерам, сломавшим "Дію"

К взлому приложения может приобщиться каждый
Минцифры заплатит миллион гривен хакерам, сломавшим "Дію"
27 июля 2021, 13:47
читати українською

Министерство цифровой трансформации запускает багбаунти "Дії" с призовым фондом в миллион гривен.

Как сообщает пресс-служба ведомства, программу запускают во второй раз, чтобы исследовать уязвимость приложения.

Во второй раз запускаем багбаунти приложения "Дія" с призовым фондом в 1 млн грн ($ 35 000). Программа багбаунти предусматривает вознаграждение за каждую найденную уязвимость в коде. Это поможет выявить возможные недостатки и устранить их, - говорится в сообщении.

В министерстве напомнили, что в декабре проводили первый этап багбаунти. В нем участвовали "этические хакеры" - специалисты по поиску программных недостатков - со всего мира. В приложении не выявили уязвимости, которые влияли бы на безопасность.

На этот раз запускаем второй этап багбаунти по новым правилам. Проведем открытое для всех желающих багбаунти, в котором сможет принять участие каждый (независимо от опыта и квалификации). Второй этап багбаунти продлится 6 месяцев. Приоритет этого этапа - тестирование "Дія.Пидпис". Не менее важной будет проверка создания электронных копий документов и их шеринга, - говорят в ведомстве.

Ожидается, что найденные уязвимости будут проанализированы командой специалистов, что позволит усилить систему защиты "Дія". В случае ее подтверждения будет выплачено вознаграждение. Оно будет делиться по нескольким категориям сложности: при обнаружении минимальной уязвимости (P5) - от 200 до 250 долларов, критической уязвимости (P1) - от 4100 до 4500 долларов.

Багбаунти будет проходить на платформе Bugcrowd, как и в прошлый раз. Это одна из крупнейших международных компаний, специализирующейся на кибербезопасности и багбаунти. Зарегистрироваться можно - по ссылке.

Важно, что для тестировщиков будет создана отдельная тестовая среда - копия приложения "Дія". Однако без доступа к внешним информационным системам: госреестров, банковских систем (регистрация в приложении происходит по BankID) и информационных систем вендоров (функционал для шеринга документов).

В прошлом году Минцифры проводило первый этап багбаунти приложения "Дія". Белые хакеры со всего мира "ломали" копию мобильного приложения.

Читайте также

1