За злом додатку "Дія" заплатять мільйон гривень – як отримати гроші

Захист паспортних даних в "Дії" / Фото: Unsplash, Дія

В Україні запустився другий етап програми Bug Bounty "Дії". Це челендж для "етичних хакерів" з усього світу, які повинні виявити баги в державному додатку. Спробувати свої сили може будь-який хакер з різним рівнем кваліфікації та досвіду. Загальний призовий фонд – 1 мільйон гривень (35 тисяч доларів).

Про старт другого етапу програми оголосили міністр цифровий трансформації Михайло Федоров і директор проекту USAID "Кібербезпека критично важливої інфраструктури України" Тімоті Дюбель.

"Ми розуміємо, що неможливо вибудувати суперзахист один раз і бути впевненим, що ніхто не зможе його зламати. Питання кіберзахисту потребує постійного оновлення рішень. Саме це ми й робимо, вдруге запускаючи багбаунті Дії, і даємо можливість кожному протестувати захищеність застосунку та переконатися, що цифрові документи та сервіси — це безпечно. За кожен знайдений баг отримаєте винагороду. Ми робимо все для того, щоб захистити державні сервіси та вибудувати довіру українців до них", – зазначив Федоров.

Скільки і за що заплатять

Розмір винагороди залежатиме від "значимості і рівня складності уразливості":

Деокупація півдня країни – як українські військові відвойовують території

Заборона на пересування країною для військовозобов'язаних – всі деталі

Ракетні удари по мирних українськиих містах - липень 2022

Ядерний тероризм Росії

• 1 рівень складності: від 4100 до 4500 доларів;
• 2 рівень складності: від 1500 до 1750 доларів;
• 3 рівень складності: від 600 до 850 доларів;
• 4 рівень складності: від 200 до 250 доларів.

Що нового

Конкурс для так званих "білих хакерів" вже проходив в грудні 2020 го року. Минулого разу час на злом було обмежено всього тижнем. На цей раз етап триватиме півроку або закінчиться тоді, коли вичерпається призовий фонд.

Крім того, тепер в конкурсі зможе взяти участь кожен, незалежно від досвіду і кваліфікації. Конкурс проходить на платформі Bugcrowd. Зареєструватися учасникам можна за цим посиланням.

Тобто "білі хакери" використовуватимуть не чинний додаток, а спеціально створену окрему середу – копію "Дії". У зломщиків НЕ буде доступу до зовнішніх інформаційних систем: Держреєстру, банківським системам (реєстрація в додатку відбувається через BankID) та інформаційних систем вендорів (функціонал для шерингу документів).

Що далі

Знайдені уразливості проаналізує команда фахівців Мінціфри. Всі знайдені "баги" нейтралізують, а систему захисту максимально посилять.

"Проект також активно співпрацює з низкою інших стейкхолдерів для посилення кіберстойкості України. У нас налагоджені партнерські зв'язки з представниками українського бізнесу і профільних ЗВО для розвитку кадрового потенціалу та приватного сектору для захисту критично важливої інфраструктури", – пояснив Тімоті Дюбель.

До речі, в грудні хакери не змогли зламати додаток "Дія" і виявили в ньому лише двы невеликих вади, за що заробили всього по 250 доларів призових.

Реалізація Bug Bounty проходить за підтримки міжнародної платформи Bugcrowd і проекту агентства з міжнародного розвитку США (USAID) "Кібербезпека критично важливої інфраструктури України".

Нагадаємо, українці почали скаржитися, що шахраї оформляють підроблені кредити за допомогою програми "Дія". У Міністерстві цифровий трансформації при цьому запевняють, що так просто зламати додаток – неможливо.