Багбаунті Дії: Мінцифра виділила 1 мільйон гривень на призовий фонд. Участь можуть брати всі (upd)
Міністерство цифрової трансформації заявляє, що безпека застосунку «Дія» — один з головних його пріоритетів. Тому воно вдруге запускає багбаунті застосунку з призовим фондом в 1 млн грн ($35 000). Нагороду отримає кожен, хто знайде вразливість у коді, яка буде підтверджена.
«Дія» вже проходила один етап багбаунті у грудні 2020 року. Тоді до нього залучили виключно «етичних хакерів» з усього світу. У другому ж етапі шукати недоліки застосунку зможуть всі охочі, незалежно від досвіду та кваліфікації. Спочатку сервіс потребував підтвердити резидентство України, але тепер дозволяє брати участь і резидентам інших країн.
Що планується на другий етап багбаунті
У другому етапі багбаунті тестуватимуть Дія.Підпис та створення електронних копій документів та їх шерингу. Етап триватиме 6 місяців.
«Ми розуміємо, що неможливо вибудувати суперзахист один раз і бути впевненим, що ніхто не зможе його зламати. Питання кіберзахисту потребує постійного оновлення рішень. Саме це ми й робимо, вдруге запускаючи багбаунті Дії, і даємо можливість кожному протестувати захищеність застосунку та переконатися, що цифрові документи та сервіси — це безпечно. За кожен знайдений баг отримаєте винагороду. Ми робимо все для того, щоб захистити державні сервіси та вибудувати довіру українців до них», — зазначив міністр цифрової трансформації Михайло Федоров.
Усі знайдені вразливості буде аналізувати команда спеціалістів Мінцифри. Якщо знайдена вразливість підтвердиться, вам виплатять винагороду.
Розмір винагороди корелюватиметься категорією складності:
P5 — $0
Мінімальна вразливість (P4) — $200-$250
Критична вразливість (P1) — $4100-$4500
Як все відбуватиметься
Другий етап багбаунті проходитиме на платформі Bugcrowd, як і минулого разу. Зареєструватися можна за посиланням.
Для тестувальників створять копію застосунку Дія. У неї не буде доступу до зовнішніх інформаційних систем: держреєстрів, банківських систем (реєстрація в застосунку відбувається через BankID) та інформаційних систем вендорів (функціонал для шерингу документів).
Реалізацію другого етапу багбаунті підтримує проєкт USAID «Кібербезпека критично важливої інфраструктури в Україні». Керівник проєкту Тімоті Дубел зазначає, що залучення більшої кількості тестувальників застосунку протягом тривалішого терміну допоможе підвищити рівень довіри до Дії та посилити безпечність сервісу.
«Такий крок є невіддільною частиною процесу цифрової трансформації» — наголошує він.
Читайте також: Зацифрувати 100% держпослуг. Як Diia Company досягатиме амбітної цілі та які послуги вже є онлайн
44 коментарі
Додати коментар Підписатись на коментаріВідписатись від коментарів