«Мінцифра» запускає другу програму пошуку вразливостей в застосунку «Дія»

«Міністерство цифрової трансформації України» в рамках посилення кібербезпеки застосунку «Дія» та державних сервісів вдруге запускає пошук вразливостей з призовим фондом в 1 млн грн. Програма багбаунті передбачає винагороду за кожну знайдену вразливість у коді. Це допоможе виявити можливі недоліки та усунути їх.

У грудні «Мінцифра» проводила перший етап багбаунті. У ньому брали участь «етичні хакери» – спеціалісти з пошуку програмних недоліків – з усього світу. У застосунку не виявили вразливості, які впливали б на безпеку. Другий етап багбаунті відбудеться за новими правилами – участь зможе взяти кожен бажаючий, незалежно від досвіду та кваліфікації. Він триватиме 6 місяців. Пріоритет цього етапу – тестування «Дія.Підпису». Не менш важливою буде перевірка створення електронних копій документів та обміну ними.

Знайдені вразливості будуть проаналізовані командою спеціалістів «Мінцифри», що дозволить посилити систему захисту «Дії». У разі її підтвердження буде виплачена винагорода. Вона буде ділитися за кількома категоріями складності: за виявлення мінімальної вразливості (P5) – від 200 до 250 доларів, критичної вразливості (P1) – від 4100 до 4500 доларів.

Важливо, що для тестувальників буде створено окреме тестове середовище – копія застосунку «Дія». Однак без доступу до зовнішніх інформаційних систем: держреєстрів, банківських систем (реєстрація в застосунку відбувається через BankID) та інформаційних систем вендорів (функціонал для шерингу документів).

Реалізація багбаунті відбувається за підтримки міжнародної платформи Bugcrowd та проєкту «Агентства з міжнародного розвитку США» (USAID) «Кібербезпека критично важливої інфраструктури України». Зареєструватися можна – за посиланням.