Prozorro платитиме «білим хакерам» до $1000 доларів за одну знайдену вразливість

Відтепер багхантери отримуватимуть від 8400 до 28000 гривень за знайдену вразливість в екосистемі Prozorro.

Програма пошуку вразливостей Prozorro Bug Bounty, запущена в електронній системі закупівель Prozorro за участі електронних майданчиків, у 10 разів збільшує грошові винагороди.

Тепер за кожну вразливість найвищого рівня — Р1 багхантери отримуватимуть 28 000 грн, за Р2 — 14 000 грн, за Р3 — 8 400. Вразливості найнижчого рівня — Р4 та Р5 не нагороджуватимуться.

За рік існування проєкту сім багхантерів знайшли 68 вразливостей, 43 з них виявилися не критичного рівня.

Нагадаємо, що пошук вразливостей у системі проходить у тестовому середовищі, що не позначається на функціонуванні електронної системи закупівель. Учасники мають необхідні доступи, інструменти та необмежену кількість часу на дослідження. Відповідно до знайдених вразливостей багхантер отримує грошову винагороду та потрапляє до рейтингу учасників, який ведеться на порталі Prozorro.

Детальніше про умови участі та винагороди — на сайті програми Prozorro Bug Bounty.

Проєкт реалізується комерційними майданчиками E-tender, Українська універсальна біржа, Zakupki.prom.ua, SmartTender.biz, Zakupivli24, zakupki.com.ua та Держпідприємством «Прозорро».

Теми: Prozorro, безпека

Ctrl + Enter

Олексій Пєніє 24.07.2021 10:55

Напомнило древний креатив про сверхдоходы в контрактной армии
www.youtube.com/watch?v=l4-Trs77zrA

Відповісти

Підтримати

Oleg Korol POWER Ops, again 23.07.2021 15:00

пошук вразливостей у системі проходить у тестовому середовищі, що

немає нічого спільного з production? :-)

НЕ ДОЗВОЛЯЄТЬСЯ сканування та пошук вразливостей, та не приймаються вразливості (out of scope) на наступних доменах:
всі інші домени *.prozorro.gov.ua
всі інші домени *.prozorro.org
всі інші домени *.prozorro.ua
*.openprocurement.org

Олексій Пєніє 24.07.2021 10:52

Про применение найденного никто не говорил :)

Oleg Korol

ТЗ 22.07.2021 22:08

до :(

Andrey Rogovsky CoFounder в ГО АФК 22.07.2021 20:38

А как у вас получить документы на пентест с заверенные СБУ?

Олексій Пєніє 22.07.2021 21:14

Нормально_ж_общались.жпг

Andrey Rogovsky

Andrey Rogovsky CoFounder в ГО АФК 23.07.2021 09:24

Ладн, пусть в держспецсвязи пропечатют
А то вместо штуки баксов можно получить уголовку

Олексій Пєніє

Да это прям без вариантов. Кто в здравом уме пойдёт по-белому работать на преступников, притом ещё и исполняя действия со всеми признаками преступных. Когда у этих ребят и план по раскрываемости, и явное намерение ПРОЭКСПЛОЙТИТЬ все найденные дыры, и козла отпущения найти.

Stas K Software Engineer 22.07.2021 18:58

1k за P1, жлобье. ничего, как говорится скупой платит дважды.

Олексій Пєніє 22.07.2021 21:15

Это прозорро, там не дважды, там куда круче коэффициенты.

Stas K

Олексій Пєніє 22.07.2021 17:08

Тепер за кожну вразливість найвищого рівня — Р1 багхантери отримуватимуть 28 000 грн

Я б лучше нашёл подельника да проэксплойтил, будь у меня доступ. Тем более что всё это вполне даже легальный бизнес, так что это вин-вин. Но на уровне 1 находится человеческий фактор, то есть система тупо рулится вручную, IT уязвимостей там быть не может априори. Но могут быть человеческие, например пранкер может попросить выполнить коррупционные действия.

за Р2 — 14 000 грн, за Р3 — 8 400.

Предполагаю, что эти уровни должны позволять участнику делать малозаметные действия, либо наоборот, мешать действовать другим. Как-то совсем уж скромненько для системы, ворочающей сотнями миллиардов

Вразливості найнижчого рівня — Р4 та Р5 не нагороджуватимуться.

Тем не менее, они наверняка при эксплойте могут хорошо поломать кому-то карьеру, заставить упустить выгоду, или же наоборот, способствовать сокрытию коррупции и получению неправомерной выгоды. Так сколько, говорите? Бесплатно? Ну-ну.

Олексій Пєніє 22.07.2021 17:02

Не играй в азартные игры с государством, у него все карты краплёные