Prozorro платитиме «білим хакерам» до $1000 доларів за одну знайдену вразливість

Відтепер багхантери отримуватимуть від 8400 до 28000 гривень за знайдену вразливість в екосистемі Prozorro.

Програма пошуку вразливостей Prozorro Bug Bounty, запущена в електронній системі закупівель Prozorro за участі електронних майданчиків, у 10 разів збільшує грошові винагороди.

Тепер за кожну вразливість найвищого рівня — Р1 багхантери отримуватимуть 28 000 грн, за Р2 — 14 000 грн, за Р3 — 8 400. Вразливості найнижчого рівня — Р4 та Р5 не нагороджуватимуться.

За рік існування проєкту сім багхантерів знайшли 68 вразливостей, 43 з них виявилися не критичного рівня.

Нагадаємо, що пошук вразливостей у системі проходить у тестовому середовищі, що не позначається на функціонуванні електронної системи закупівель. Учасники мають необхідні доступи, інструменти та необмежену кількість часу на дослідження. Відповідно до знайдених вразливостей багхантер отримує грошову винагороду та потрапляє до рейтингу учасників, який ведеться на порталі Prozorro.

Детальніше про умови участі та винагороди — на сайті програми Prozorro Bug Bounty.

Проєкт реалізується комерційними майданчиками E-tender, Українська універсальна біржа, Zakupki.prom.ua, SmartTender.biz, Zakupivli24, zakupki.com.ua та Держпідприємством «Прозорро».

👍ПодобаєтьсяСподобалось1
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Напомнило древний креатив про сверхдоходы в контрактной армии
www.youtube.com/watch?v=l4-Trs77zrA

пошук вразливостей у системі проходить у тестовому середовищі, що

немає нічого спільного з production? :-)

НЕ ДОЗВОЛЯЄТЬСЯ сканування та пошук вразливостей, та не приймаються вразливості (out of scope) на наступних доменах:
всі інші домени *.prozorro.gov.ua
всі інші домени *.prozorro.org
всі інші домени *.prozorro.ua
*.openprocurement.org

Про применение найденного никто не говорил :)

А как у вас получить документы на пентест с заверенные СБУ?

Ладн, пусть в держспецсвязи пропечатют
А то вместо штуки баксов можно получить уголовку

Да это прям без вариантов. Кто в здравом уме пойдёт по-белому работать на преступников, притом ещё и исполняя действия со всеми признаками преступных. Когда у этих ребят и план по раскрываемости, и явное намерение ПРОЭКСПЛОЙТИТЬ все найденные дыры, и козла отпущения найти.

1k за P1, жлобье. ничего, как говорится скупой платит дважды.

Это прозорро, там не дважды, там куда круче коэффициенты.

Тепер за кожну вразливість найвищого рівня — Р1 багхантери отримуватимуть 28 000 грн

Я б лучше нашёл подельника да проэксплойтил, будь у меня доступ. Тем более что всё это вполне даже легальный бизнес, так что это вин-вин. Но на уровне 1 находится человеческий фактор, то есть система тупо рулится вручную, IT уязвимостей там быть не может априори. Но могут быть человеческие, например пранкер может попросить выполнить коррупционные действия.

за Р2 — 14 000 грн, за Р3 — 8 400.

Предполагаю, что эти уровни должны позволять участнику делать малозаметные действия, либо наоборот, мешать действовать другим. Как-то совсем уж скромненько для системы, ворочающей сотнями миллиардов

Вразливості найнижчого рівня — Р4 та Р5 не нагороджуватимуться.

Тем не менее, они наверняка при эксплойте могут хорошо поломать кому-то карьеру, заставить упустить выгоду, или же наоборот, способствовать сокрытию коррупции и получению неправомерной выгоды. Так сколько, говорите? Бесплатно? Ну-ну.

Не играй в азартные игры с государством, у него все карты краплёные

у 10 разів збільшує грошові винагороди

мне кажется я понимаю откуда у чиновников берется такая ненависть к айти

Трохи смішно, що, виходить, раніше за P3 баґ платили 31 долар)

Тим часом Дія вже більш ніж 3 тижні не може почати обіцяний bugbounty: dou.ua/forums/topic/33984

Они для начала должны получить гарантийку на их безопасность и опубликовать ее. Иначе смыслах нет.

Підписатись на коментарі