Мінцифри розпочала другий етап програми Bug Bounty для застосунку «Дія»: тепер шукати вразливості у застосунку можуть усі охочі. Призовий фонд програми — 1 мільйон гривень (35 000 доларів).
Нагадаємо, під час першого етапу участь могли взяти лише обрані дослідники безпеки на платформі Bugcrowd. У грудні був опублікований звіт з результатами програми: зазначалось, що хакери знайшли дві проблеми низького рівня, а жодних критичних вразливостей у «Дії» не виявлено.
Другий етап теж відбувається на Bugcrowd, але тепер програма відкрита для всіх охочих. Щоб взяти участь, потрібно зареєструватись. Конкурс стартує 27 липня і триватиме пів року — до 27 січня (а не тиждень, як минулого разу). Пріоритетним буде пошук вразливостей у системі «Дія.Підпис».
Винагорода розподілятиметься відповідно до рівня складності вразливості:
- перший рівень складності: від 4100 до 4500 $;
- другий: від 1500 до 1750 $;
- третій: від 600 до 850 $;
- четвертий: від 200 до 250 $.
Дослідники зможуть скористатись окремим тестовим середовищем, який повторює застосунок Дія, але не має доступу до зовнішніх систем: наприклад, банківських систем чи держреєстрів (щоправда, в коментарях пишуть, що з тестовим середовищем зараз виникають проблеми).
Програма відбувається за підтримки міжнародної платформи Bugcrowd та проєкту Агентства з міжнародного розвитку США (USAID) «Кібербезпека критично важливої інфраструктури України».
Ще немає коментарів