Захист паспортних даних в "Дії" / Фото: Unsplash, Дія
В Україні запустився другий етап програми Bug Bounty "Дії". Це челендж для "етичних хакерів" з усього світу, які повинні виявити баги в державному додатку. Спробувати свої сили може будь-який хакер з різним рівнем кваліфікації та досвіду. Загальний призовий фонд – 1 мільйон гривень (35 тисяч доларів).
Про старт другого етапу програми оголосили міністр цифровий трансформації Михайло Федоров і директор проекту USAID "Кібербезпека критично важливої інфраструктури України" Тімоті Дюбель.
"Ми розуміємо, що неможливо вибудувати суперзахист один раз і бути впевненим, що ніхто не зможе його зламати. Питання кіберзахисту потребує постійного оновлення рішень. Саме це ми й робимо, вдруге запускаючи багбаунті Дії, і даємо можливість кожному протестувати захищеність застосунку та переконатися, що цифрові документи та сервіси — це безпечно. За кожен знайдений баг отримаєте винагороду. Ми робимо все для того, щоб захистити державні сервіси та вибудувати довіру українців до них", – зазначив Федоров.
Скільки і за що заплатять
Розмір винагороди залежатиме від "значимості і рівня складності уразливості":
- 1 рівень складності: від 4100 до 4500 доларів;
- 2 рівень складності: від 1500 до 1750 доларів;
- 3 рівень складності: від 600 до 850 доларів;
- 4 рівень складності: від 200 до 250 доларів.
Що нового
Конкурс для так званих "білих хакерів" вже проходив в грудні 2020 го року. Минулого разу час на злом було обмежено всього тижнем. На цей раз етап триватиме півроку або закінчиться тоді, коли вичерпається призовий фонд.
Крім того, тепер в конкурсі зможе взяти участь кожен, незалежно від досвіду і кваліфікації. Конкурс проходить на платформі Bugcrowd. Зареєструватися учасникам можна за цим посиланням.
Тобто "білі хакери" використовуватимуть не чинний додаток, а спеціально створену окрему середу – копію "Дії". У зломщиків НЕ буде доступу до зовнішніх інформаційних систем: Держреєстру, банківським системам (реєстрація в додатку відбувається через BankID) та інформаційних систем вендорів (функціонал для шерингу документів).
Що далі
Знайдені уразливості проаналізує команда фахівців Мінціфри. Всі знайдені "баги" нейтралізують, а систему захисту максимально посилять.
"Проект також активно співпрацює з низкою інших стейкхолдерів для посилення кіберстойкості України. У нас налагоджені партнерські зв'язки з представниками українського бізнесу і профільних ЗВО для розвитку кадрового потенціалу та приватного сектору для захисту критично важливої інфраструктури", – пояснив Тімоті Дюбель.
До речі, в грудні хакери не змогли зламати додаток "Дія" і виявили в ньому лише двы невеликих вади, за що заробили всього по 250 доларів призових.
Реалізація Bug Bounty проходить за підтримки міжнародної платформи Bugcrowd і проекту агентства з міжнародного розвитку США (USAID) "Кібербезпека критично важливої інфраструктури України".
Нагадаємо, українці почали скаржитися, що шахраї оформляють підроблені кредити за допомогою програми "Дія". У Міністерстві цифровий трансформації при цьому запевняють, що так просто зламати додаток – неможливо.