"Дію" чекає злом: Мінцифри оголосило про багбаунті на 1 мільйон гривень

Міністерство цифрової трансформації запустило другий BugBounty для пошуку вразливостей системи "Дія" з призовим фондом в 1 мільйон гривень.

Подробиці міністр Михайло Федоров розповів 27 липня під час онлайн-брифінгу.

Мінцифри запрошує "етичних хакерів" знайходити баги в копії порталу "Дія", яка розміщена на спеціальній платформі Bugcrowd. Цього разу проєкт триватиме півроку, щоб більша кількість фахівців із кібербезпеки мали можливість зламати систему й отримати фінансову винагороду.

Пріоритетом нового етапу багбаунті є тестування сервісу "Дія.Підпис", а також механізмів створення електронних копій документів і їхнє передавання. Програма стартує 3 серпня 2021 року для участі необхідно зареєструватися за посиланням.

Міністр підкреслив, що в тестуванні може взяти взяти участь будь-який охочий з будь-якої країни. З призового фонду вирішили виділяти $200- $250 за виявлення багів низького рівня і по $4 000- $4 500 — за уразливості високого рівня. Проєкт може закінчитися завчасно, якщо будуть виплачені всі гроші, виділені на нього.

"Минулого року, в лютому, ми проводили вже багбаунті. Хочу нагадати, що тоді не були знайдені критичні вразливості, були знайдені низького рівня баги, які ми відразу виправили. "Дія" безпечна, але продукти розвиваються, і нам необхідно на кожному етапі переконуватися, що ми все робимо правильно для того, щоб хакер із будь-якої країни світу не міг нічого зробити з нашим продуктом і персональними даними", — прокоментував Федоров.

Агентство США з міжнародного розвитку (USAID) допомагає Мінцифри в організації та фінансуванні. Директор проєкту "Кібербезпека критично важливої інфраструктури України" Тімоті Дюбель пояснив, що суму в $35 тис., або 1 млн грн, обрали невипадково: в обох випадках цифра кругла і легко запам'ятовується. За його прогнозом, другий етап багбаунті залучить більш широке коло учасників і слугуватиме прикладом для інших українських держустанов, адже це популярна практика в усьому світі.

"Ідея в тому, щоб залучити співтовариство виявляти уразливості. Щойно уразливість знаходиться, вона перекладається інженерами з безпеки, вони визначають рівень критичності", — пояснив Дюбель.

Раніше в грудні Мінцифри запустило перший багбаунті, призовий фонд якого теж склав 1 млн грн. Зареєстровані хакери перевіряли "Дію" на міцність з 8 по 15 грудня на тій же платформі Bugcrowd.

Також рекомендуємо ознайомитися з нашим матеріалом Зламати "Дію": що таке багбаунті, і чи вдасться хакерам отримати 1 млн грн від Мінцифри.