Второй этап багбаунти продлится шесть месяцев
Министерство цифровой трансформации во второй раз запускает багбаунти приложения Дия с призовым фондом в 1 млн грн ($35 000). Программа багбаунти предусматривает вознаграждение за каждую найденную уязвимость в коде. Это поможет выявить возможные недостатки и устранить их, сообщается на сайте Минцифры.
В декабре Минцифра проводила первый этап багбаунти. В нем участвовали «этические хакеры» — специалисты по поиску программных уязвимостей — со всего мира. В приложении не были выявлены уязвимости, которые влияли бы на безопасность. Второй этап багбаунти пройдет по новым правилам. В нем сможет принять участие каждый (независимо от опыта и квалификации).
Второй этап багбаунти продлится шесть месяцев. Приоритет этого этапа — тестирование «Дія.Підпис». Не менее важной будет проверка создания электронных копий документов и их шеринга.
«Мы понимаем, что невозможно выстроить суперзащиту один раз и быть уверенным, что никто не сможет ее взломать. Вопрос киберзащиты нуждается в постоянном обновлении решений. Именно это мы и делаем, во второй раз запуская багбаунти Дия, и даем возможность каждому протестировать защищенность приложений и убедиться, что цифровые документы и сервисы — это безопасно. За каждый найденный баг получите вознаграждение. Мы делаем все для того, чтобы защитить государственные сервисы и выстроить доверие украинцев к ним», — отметил Михаил Федоров.
Найденные уязвимости будут проанализированы командой специалистов Минцифры. В случае подтверждения будет выплачено вознаграждение в зависимости от категории сложности: при обнаружении минимальной уязвимости (P5) — от $200 до $250, критической уязвимости (P1) — от $4100 до $4500.
Багбаунти будет проходить на платформе Bugcrowd, как и в прошлый раз. Это одна из крупнейших международных компаний, специализирующихся на кибербезопасности и багбаунти.
Важно, что для тестировщиков будет создано отдельную тестовую среду — копию приложения Дия. Однако без доступа к внешним информационным системам: госреестрам, банковским систем (регистрация в приложении происходит через BankID) и информационным системам вендоров (функционал для шеринга документов).
СПРАВКА PAYSPACE MAGAZINE
17 мая Министерство цифровой трансформации провело Diia Summit 2.0 — онлайн-презентацию новых электронных услуг в мобильном приложении и на портале «Дія». Среди них такие ожидаемые, как смена места регистрации, подача деклараций и оплата налогов в несколько кликов, е-подпись и т.д.
ЧИТАЙТЕ ТАКЖЕ: Спецрежим для ІТ: что предусматривает обновленный проект «Дия. Сити»