"Дію" ждет взлом: Минцифры объявило о багбаунти на 1 миллион гривен

Министерство цифровой трансформации запустило второй BugBounty для поиска уязвимостей системы "Дія" с призовым фондом в 1 миллион гривен.

Подробности министр Михаил Федоров рассказал 27 июля во время онлайн-брифинга.

Минцифры приглашает "этических хакеров" выявлять баги в копии портала "Дія", которая размещена на специальной платформе Bugcrowd. На этот раз проект продлится полгода, чтобы большее количество специалистов по кибербезопасности имели возможность взломать систему и получить финансовое вознаграждение.

Приоритетом нового этапа багбаунти является тестирование сервиса "Дія.Підпис", а также механизмов создания электронных копий документов и их передачу. Программа стартует 3 августа 2021 года, для участия необходимо зарегистрироваться по ссылке.

Министр подчеркнул, что в тестировании может принять принять участие любой желающий из любой страны. Из призового фонда решили выделять $200-$250 за обнаружение багов низкого уровня и по $4000-$4500 — за уязвимости высокого уровня. Проект может закончиться раньше времени, если будут выплачены все деньги, выделенные на него.

"В прошлом году, в феврале, мы проводили уже багбаунти. Хочу напомнить, что тогда не было найдено критических уязвимостей, были найдены низкого уровня баги, которые мы сразу исправили. "Дія" безопасна, но продукты развиваются, и нам необходимо на каждом этапе убеждаться, что мы все делаем правильно для того, чтобы хакер из любой страны мира не мог ничего сделать с нашим продуктом и персональными данными", — прокомментировал Федоров.

Агентство США по международному развитию (USAID) помогает Минцифры в организации и финансировании. Директор проекта "Кибербезопасность критически важной инфраструктуры Украины" Тимоти Дюбель объяснил, что сумму в $35 тыс., или 1 млн грн, выбрали неслучайно: в обоих случаях цифра круглая и легко запоминается. По его прогнозу, второй этап багбаунти привлечет более широкий круг участников и послужит примером для других украинских госучреждений, ведь это популярная практика во всем мире.

"Идея в том, чтобы привлечь сообщество обнаруживать уязвимости. Как только уязвимость находится, она переводится инженерами по безопасности, они определяют уровень критичности", — объяснил Дюбель.

Ранее в декабре Минцифры запустила первый багбаунти, призовой фонд которого тоже составил 1 млн грн. Зарегистрированные хакеры проверяли "Дію" на прочность с 8 по 15 декабря на той же платформе Bugcrowd.

Также рекомендуем ознакомиться с нашим материалом Взломать "Дію": что такое багбаунти, и удастся ли хакерам получить 1 млн грн от Минцифры.