Мінцифра запускає багбаунті Дії з призовим фондом в 1 мільйон гривень
Міністерство цифрової трансформації України вдруге запускає багбаунті застосунку Дія з призовим фондом в 1 млн грн ($35 000). Програма багбаунті передбачає винагороду за кожну знайдену вразливість у коді. Це допоможе виявити можливі недоліки та усунути їх.
У грудні Мінцифра проводила перший етап багбаунті. У ньому брали участь «етичні хакери» — спеціалісти з пошуку програмних недоліків — з усього світу. У застосунку не виявили вразливості, які впливали б на безпеку. Цього разу запускається другий етап багбаунті з новими правилами.
Другий етап багбаунті триватиме 6 місяців. Пріоритет цього етапу — тестування Дія.Підпису.
«Ми розуміємо, що неможливо вибудувати суперзахист один раз і бути впевненим, що ніхто не зможе його зламати. Питання кіберзахисту потребує постійного оновлення рішень. Саме це ми й робимо, вдруге запускаючи багбаунті Дії, і даємо можливість кожному протестувати захищеність застосунку та переконатися, що цифрові документи та сервіси — це безпечно. За кожен знайдений баг отримаєте винагороду. Ми робимо все для того, щоб захистити державні сервіси та вибудувати довіру українців до них», — зазначив Михайло Федоров.
Знайдені вразливості будуть проаналізовані командою спеціалістів Мінцифри. У разі підтвердження буде виплачена винагорода. Вона буде ділитися за кількома категоріями складності: за виявлення мінімальної вразливості (P5) — від 200 до 250 доларів, критичної вразливості (P1) — від 4100 до 4500 доларів.
«Проєкт USAID «Кібербезпека критично важливої інфраструктури в Україні» радий підтримати запуск Мінцифрою чергового етапу багбаунті Дії. Це дозволить залучити більше тестувальників застосунку протягом тривалішого терміну, допоможе підвищити рівень довіри до Дії та посилити безпечність сервісу. Такий крок є невід’ємною частиною процесу цифрової трансформації. Проєкт також активно співпрацює з рядом інших стейкхолдерів для посилення кіберстійкості України. Ми маємо налагоджені партнерські зв'язки з представниками українського бізнесу та профільних ЗВО для розвитку кадрового потенціалу та приватного сектору для захисту критично важливої інфраструктури», — підкреслив Тімоті Дубел, керівник проєкту USAID «Кібербезпека критично важливої інфраструктури України».
Багбаунті проходитиме на платформі Bugcrowd, як і минулого разу. Це одна з найбільших міжнародних компаній, що спеціалізується на кібербезпеці й багбаунті.
Зареєструватися можна — за посиланням.
Для тестувальників буде створено окреме тестове середовище — копія застосунку Дія. Однак без доступу до зовнішніх інформаційних систем: держреєстрів, банківських систем (реєстрація в застосунку відбувається через BankID) та інформаційних систем вендорів (функціонал для шерингу документів).
Реалізація багбаунті відбувається за підтримки міжнародної платформи Bugcrowd та проєкту Агентства з міжнародного розвитку США (USAID) «Кібербезпека критично важливої інфраструктури України».