Мінцифра запускає багбаунті застосунку Дія з призовим фондом в 1 млн грн ($35 000). Програма багбаунті передбачає винагороду за кожну знайдену вразливість у коді. Це допоможе виявити можливі недоліки та усунути їх.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Читайте також: "Оголошено тендер на розробку англомовної версії порталу Дія"
Про це повідомляє пресслужба Мінцифри.
У грудні Мінцифра проводила перший етап багбаунті. У ньому брали участь "етичні хакери" — спеціалісти з пошуку програмних недоліків — з усього світу. У застосунку не виявили вразливості, які впливали б на безпеку. Цього разу Мінцифра запускає другий етап багбаунті з новими правилами: в ньму зможе взяти участь кожен (незалежно від досвіду та кваліфікації).
Другий етап багбаунті триватиме 6 місяців. Пріоритет цього етапу — тестування Дія.Підпису. Не менш важливою буде перевірка створення електронних копій документів та їх шерингу.
“Ми розуміємо, що неможливо вибудувати суперзахист один раз і бути впевненим, що ніхто не зможе його зламати. Питання кіберзахисту потребує постійного оновлення рішень. Саме це ми й робимо, вдруге запускаючи багбаунті Дії, і даємо можливість кожному протестувати захищеність застосунку та переконатися, що цифрові документи та сервіси — це безпечно. За кожен знайдений баг отримаєте винагороду. Ми робимо все для того, щоб захистити державні сервіси та вибудувати довіру українців до них”, — зазначив Михайло Федоров.
Знайдені вразливості будуть проаналізовані командою спеціалістів, що дозволить посилити систему захисту Дії. У разі її підтвердження буде виплачена винагорода. Вона буде ділитися за кількома категоріями складності: за виявлення мінімальної вразливості (P5) — від 200 до 250 доларів, критичної вразливості (P1) — від 4100 до 4500 доларів.
Багбаунті проходитиме на платформі Bugcrowd, як і минулого разу.
Зареєструватися можна за посиланням.
Важливо, що для тестувальників буде створено окреме тестове середовище — копія застосунку Дія. Однак без доступу до зовнішніх інформаційних систем: держреєстрів, банківських систем (реєстрація в застосунку відбувається через BankID) та інформаційних систем вендорів (функціонал для шерингу документів).
Одна з головних переваг програм багбаунті — хакерам цікаво шукати складні вразливості, адже від цього залежить розмір винагороди. Чим складніша уразливість, тим більша винагорода. Коли систему тестують одночасно багато людей із різним досвідом і методами, це допомагає ефективніше виявити потенційні недоліки.