Prozorro платитиме «білим хакерам» до $1000 доларів за одну знайдену вразливість
Відтепер багхантери отримуватимуть від 8400 до 28000 гривень за знайдену вразливість в екосистемі Prozorro.
Програма пошуку вразливостей Prozorro Bug Bounty, запущена в електронній системі закупівель Prozorro за участі електронних майданчиків, у 10 разів збільшує грошові винагороди.
Тепер за кожну вразливість найвищого рівня — Р1 багхантери отримуватимуть 28 000 грн, за Р2 — 14 000 грн, за Р3 — 8 400. Вразливості найнижчого рівня — Р4 та Р5 не нагороджуватимуться.
За рік існування проєкту сім багхантерів знайшли 68 вразливостей, 43 з них виявилися не критичного рівня.
Нагадаємо, що пошук вразливостей у системі проходить у тестовому середовищі, що не позначається на функціонуванні електронної системи закупівель. Учасники мають необхідні доступи, інструменти та необмежену кількість часу на дослідження. Відповідно до знайдених вразливостей багхантер отримує грошову винагороду та потрапляє до рейтингу учасників, який ведеться на порталі Prozorro.
Детальніше про умови участі та винагороди — на сайті програми Prozorro Bug Bounty.
Проєкт реалізується комерційними майданчиками E-tender, Українська універсальна біржа, Zakupki.prom.ua, SmartTender.biz, Zakupivli24, zakupki.com.ua та Держпідприємством «Прозорро».
18 коментарів
Додати коментар Підписатись на коментаріВідписатись від коментарівНапомнило древний креатив про сверхдоходы в контрактной армии
www.youtube.com/watch?v=l4-Trs77zrA
немає нічого спільного з production? :-)
Про применение найденного никто не говорил :)
до :(
А как у вас получить документы на пентест с заверенные СБУ?
Нормально_ж_общались.жпг
Ладн, пусть в держспецсвязи пропечатют
А то вместо штуки баксов можно получить уголовку
Да это прям без вариантов. Кто в здравом уме пойдёт по-белому работать на преступников, притом ещё и исполняя действия со всеми признаками преступных. Когда у этих ребят и план по раскрываемости, и явное намерение ПРОЭКСПЛОЙТИТЬ все найденные дыры, и козла отпущения найти.
Это прозорро, там не дважды, там куда круче коэффициенты.
Я б лучше нашёл подельника да проэксплойтил, будь у меня доступ. Тем более что всё это вполне даже легальный бизнес, так что это вин-вин. Но на уровне 1 находится человеческий фактор, то есть система тупо рулится вручную, IT уязвимостей там быть не может априори. Но могут быть человеческие, например пранкер может попросить выполнить коррупционные действия.
Предполагаю, что эти уровни должны позволять участнику делать малозаметные действия, либо наоборот, мешать действовать другим. Как-то совсем уж скромненько для системы, ворочающей сотнями миллиардов
Тем не менее, они наверняка при эксплойте могут хорошо поломать кому-то карьеру, заставить упустить выгоду, или же наоборот, способствовать сокрытию коррупции и получению неправомерной выгоды. Так сколько, говорите? Бесплатно? Ну-ну.
Не играй в азартные игры с государством, у него все карты краплёные
мне кажется я понимаю откуда у чиновников берется такая ненависть к айти
Трохи смішно, що, виходить, раніше за P3 баґ платили 31 долар)
Ну так це ж ящик мівіни можна взяти!
Тим часом Дія вже більш ніж 3 тижні не може почати обіцяний bugbounty: dou.ua/forums/topic/33984
Они для начала должны получить гарантийку на их безопасность и опубликовать ее. Иначе смыслах нет.
Смешные циферки )))