Минцифры назвало дату "санкционированного" взлома приложения "Дія"
Багбаунти состоится 8 декабря 2020 года.
Министр цифровой трансформации Михаил Федоров во время брифинга заявил, что 8 декабря 2020 года Минцифры запускает багбаунти приложения "Дія" с призовым фондом 1 млн грн ($35 тыс.). Вознаграждение получит тот "аккредитованный" хакер, которому удастся найти уязвимости в системе защиты приложения, сообщается на сайте министерства.
"Сегодня в "Дія" зарегистрированы более 6 млн украинцев. Мы тратим 80% нашего времени для того, чтобы приложение было безопасным. На сегодняшний день это наиболее защищенный продукт, который создавался за последние годы. Команда Минцифры получила аттестат КСЗИ на "Дія" 2.0. Это самая высокая оценка качества с точки зрения безопасности IT-продуктов в нашей стране. Мы также прошли два пентеста на выявление уязвимостей. Теперь мы делаем следующий важный шаг — запускаем процесс багбаунти", — заявил Михаил Федоров.
В течение недели, с 8 по 15 декабря, хакеры "в белых шляпах" будут пытаться взломать копию "государства в смартфоне. Багбаунти будет проходить при поддержке международной платформы Bugcrowd и агентства по международному развитию США (USAID). Призовой фонд — 1 млн грн ($35 тыс.). Условия таковы: если хакер находит уязвимость (баг) — получает вознаграждение.
В министерстве отмечают, что вознаграждение будет разделено по нескольким категориям сложности багов: первый уровень сложности — до $3500, второй — до $1200, третий — до $600, четвертый — до $250.
После того, как участники предъявят свои "находки", их проанализируют специалисты Bugcrowd и "Дія". В случае подтверждения информации о багах, будет выплачено вознаграждение. Чиновники говорят, что, как показывает мировая практика, багбаунти даст возможность выявить в 7 раз больше уязвимостей, чем если бы разработчики пытались найти баги самостоятельно. Своевременное их обнаружение и устранение сделает продукт безопаснее и лучше, уверены в Минцифры.
Для багбаунти команда Минцифры создала условную копию "Дія" — тестовую среду, не содержащую пользовательские данные.
Ранее стало известно, что Нацбанк разрешил банкам с 1 декабря принимать паспорта из приложения "Дія".