close-btn

Миллион за взлом: Минцифра запускает багбаунти приложения Дия

Второй этап багбаунти продлится шесть месяцев

Министерство цифровой трансформации во второй раз запускает багбаунти приложения Дия с призовым фондом в 1 млн грн ($35 000). Программа багбаунти предусматривает вознаграждение за каждую найденную уязвимость в коде. Это поможет выявить возможные недостатки и устранить их, сообщается на сайте Минцифры.

В декабре Минцифра проводила первый этап багбаунти. В нем участвовали «этические хакеры» — специалисты по поиску программных уязвимостей — со всего мира. В приложении не были выявлены уязвимости, которые влияли бы на безопасность. Второй этап багбаунти пройдет по новым правилам. В нем сможет принять участие каждый (независимо от опыта и квалификации).

Второй этап багбаунти продлится шесть месяцев. Приоритет этого этапа — тестирование «Дія.Підпис». Не менее важной будет проверка создания электронных копий документов и их шеринга.

«Мы понимаем, что невозможно выстроить суперзащиту один раз и быть уверенным, что никто не сможет ее взломать. Вопрос киберзащиты нуждается в постоянном обновлении решений. Именно это мы и делаем, во второй раз запуская багбаунти Дия, и даем возможность каждому протестировать защищенность приложений и убедиться, что цифровые документы и сервисы — это безопасно. За каждый найденный баг получите вознаграждение. Мы делаем все для того, чтобы защитить государственные сервисы и выстроить доверие украинцев к ним», — отметил Михаил Федоров.

Найденные уязвимости будут проанализированы командой специалистов Минцифры. В случае подтверждения будет выплачено вознаграждение в зависимости от категории сложности: при обнаружении минимальной уязвимости (P5) — от $200 до $250, критической уязвимости (P1) — от $4100 до $4500.

Багбаунти будет проходить на платформе Bugcrowd, как и в прошлый раз. Это одна из крупнейших международных компаний, специализирующихся на кибербезопасности и багбаунти.

Важно, что для тестировщиков будет создано отдельную тестовую среду — копию приложения Дия. Однако без доступа к внешним информационным системам: госреестрам, банковским систем (регистрация в приложении происходит через BankID) и информационным системам вендоров (функционал для шеринга документов).

СПРАВКА PAYSPACE MAGAZINE

17 мая Министерство цифровой трансформации провело Diia Summit 2.0 — онлайн-презентацию новых электронных услуг в мобильном приложении и на портале «Дія». Среди них такие ожидаемые, как смена места регистрации, подача деклараций и оплата налогов в несколько кликов, е-подпись и т.д.

ЧИТАЙТЕ ТАКЖЕ: Спецрежим для ІТ: что предусматривает обновленный проект «Дия. Сити»

google news
credit link image
×
Подписывайтесь на нас в Telegram и Viber!