Prozorro запускає постійний пошук вразливостей — Bug Bounty

З 1 червня платформа електронних публічних закупівель Prozorro запускає програму пошуку вразливостей та запрошує «білих» хакерів виявити недоліки у її захисті

Prozorro оголошує новий Bug Bounty і запрошує білих хакерів до співпраці. Відтепер пошук вразливостей у електронній системі закупівель буде діяти на постійній основі. Фахівці з IT-безпеки, які приєднаються до проєкту, зможуть допомогти державі зробити захист даних міцнішим та отримати цікавий досвід і заохочувальні призи.

«Втручання в роботу державних IT-систем та зливи даних з державних та приватних реєстрів вже давно стали для українців буденністю, але це точно не та річ, з якою варто миритися. Як адміністратори Prozorro, ми завжди приділяємо максимально багато уваги кібербезпеці. І тому вирішили на постійній основі залучати незалежних аудиторів, так званих „білих“ хакерів, до пошуку вразливостей у нашій системі. Саме „білі“ хакери здатні допомогти державі стати міцнішою та захистити себе від інформаційних атак. Тож ми дуже чекаємо на таких фахівців!» — пояснив директор ДП «Прозорро» Василь Задворний. Він зазначив, що до проєкту можуть приєднатися як окремі фахівці, так і цілі компанії, тож Prozorro заохочує ІТ-бізнес до співпраці.

Білий хакінг вважається одним з найдієвіших способів виявлення вразливостей в IT-системах. Міжнародні корпорації, зокрема Google, Facebook, Amazon, активно використовують цей інструмент для захисту своїх продуктів. Минулого року ДП «Прозорро» стало однією з перших державних структур, яка запросила хакерів перевірити стійкість системи.

Минулорічні результати такого аудиту підтвердили надійність електронної системи закупівель: жодної вразливості у центральній базі даних та модулі аукціонів виявлено не було. Водночас Bug Bounty-2019 дозволив виправити деякі помилки і зробити інтерфейс системи більш дружнім до користувачів. З цього року марафон пошуку вразливостей триватиме на постійній основі.

Оскільки змагання будуть проходити у тестовому середовищі, це ніяк не позначиться на роботі електронної системи закупівель. Учасники змагань отримають необхідні доступи, інструментарій та необмежену кількість часу на дослідження. Кожен учасник зможе без реєстрації подати звіт про виявлені вразливості на імейл disclosure@prozorro.ua. Рейтинг учасників дозволить відзначити тих, хто знайшов більше багів цінними призами від партнерів програми — майданчиків Zakupki.Prom.UA, SmartTender, E-Tender.

Більше про умови участі та винагороди — читайте на сайті програми Bug Bounty.

Читайте про Prozorro на DOU

👍НравитсяПонравилось0
В избранноеВ избранном0
LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Судя по скриншоту базы — взяли барыгу, а не художника. Видимо слава Димы Голубова до сих пор не дает кому-то покоя.

for fun — public-docs-staging.prozorro.gov.ua — directory (catalog) traversal vulnerabilities )))

Proof of concept:
public-docs-staging.prozorro.gov.ua/...​AYcuaydioe6Xg1zeUDw%3D%3D

Directory traversal is a type of HTTP exploit that is used by attackers to gain unauthorized access to restricted directories and files. Directory traversal, also known as path traversal, ranks #13 on the CWE/SANS Top 25 Most Dangerous Software

www.veracode.com/...​urity/directory-traversal

Где деньги, Лебовски? )))

В Донецке всегда рады гостям )))

С такими призами, не удивляйтесь, если уязвимости в Прозорро начнут продавать в Даркнете. Уверен, покупатели найдутся. И не за хдд.

А потом объявят Bounty на тех, кто нашёл уязвимости, обвинив их во вмешательстве в работу автоматизированных систем.

Учасник має право: на правовий захист щодо участі у Програмі за умови дотримання вимог;

Бугага!

запрошує білих хакерів до співпраці

Это же расизм.

Коли вже пофіксять баг коли одноденні контори виграють тендера на мільйони?

Це ж не баг, а фіча.

Сигаретка, спичка, коробок.

нет. На данный момент программа не предполагает денежных призов. В первую очередь из-за сложности организации таких призов на уровне гос.компании. Если программа вызовет интерес — мы добавим и фин.вознаграждение

Научатся плавать — нальем воды. Дебилизм совка во всей красе.

це прекарсно :) Тобто давайте так. Державне підприємство. Вперше в Україні. Дає можливість тестувати себе і готове дослухатися до спільноти (так, це вперше в країні), але вам це не подобаєстья :) Смішно. Совок, як тут дописувачі пишуть — це воно і є: критика заради критики :)

Саме так. Прекрасна демонстрація. Звідки це ви вирішили, що Прозорро позбулося спеціалістів з безпеки? :)
Припускаю, що ви нас плутаєте з Міністерством Цифрової трансформації, а може й ще з кимось.
Все як завжди, нажаль: купа звинувачень і жодного конкретного факту. Ну і розібратися в ситуації важче, краще коментар написати.

Розумію, що така позиція цілком логічна для дій багатьох представників влади. Я саме тому в 2016 і приєднався до Прозорро аби ситуацію виправляти.

А ви продовжуйте хейтити :)

Смотрите. Время человека, который потенциально может у вас найти P1 стоит гдето 150-500баксов в час.
Дальше. На поиск скорее всего уйдут десятки часов.
Плюс еще 3-4 на документацию и «доказательство потенциального ущерба»
Думаете, ему интересно будет?
Нет, если бы вы, например, ввели доску почета на главной для таких людей — тогда может быть, и то врятли.
Ничего личного, просто нет смысла.
И это еще не считая потенциального риска вида «сбу нашло хакера пытавшегося взломать прозорро»

а на прошлый багбаунти еще надо было пройти отбор чтобы тебя допустили!

Наверное толпы безопасников хотели протестить Прозорро за «большую честь»?

Державне підприємство дає можливість практично безкоштовно попрацювати на нього во блаґо отєчєства. Люди критикують таку пропозицію за відсутність оплати. Критика заради критики, от же ж совки!

Слушай, вот хватит трендеть. Я тут уже писал несколько лет назад на форуме интерсные факты про руководство это шаражи (надеюсь оно сменилось), если не лень — полазь по комментариям моим. Знающие люди это помнят, надеюсь, и нормально эту бодягу пиарить тебе тут не дадут. Только не вздумай принимать на свой счёт. Я всего-лишь объясняю логику вещей, которую тыт тут будешь наблюдать с этим прозорро

Враховуючи що шукали CTO на $3300 то серйозно винагорода у якості подарунку за менше ніж $50

Сами бы за пылесос и поискали баги :)

Подписаться на комментарии