Мільйон за злом: Мінцифра запускає багбаунті додатку Дія

Другий етап багбаунті триватиме шість місяців

Міністерство цифрової трансформації вдруге запускає багбаунті застосунку Дія з призовим фондом в 1 млн грн ($35 000). Програма багбаунті передбачає винагороду за кожну знайдену вразливість у коді. Це допоможе виявити можливі недоліки та усунути їх, повідомляється на сайті Мінцифри.

У грудні Мінцифра проводила перший етап багбаунті. У ньому брали участь “етичні хакери” — спеціалісти з пошуку програмних недоліків — з усього світу. У застосунку не виявили вразливості, які впливали б на безпеку. Цього разу запускаємо другий етап багбаунті з новими правилами. Проведемо відкритий для всіх охочих багбаунті, в якому зможе взяти участь кожен (незалежно від досвіду та кваліфікації).

Другий етап багбаунті триватиме шість місяців. Пріоритет цього етапу — тестування Дія.Підпису. Не менш важливою буде перевірка створення електронних копій документів та їх шерингу.

“Ми розуміємо, що неможливо вибудувати суперзахист один раз і бути впевненим, що ніхто не зможе його зламати. Питання кіберзахисту потребує постійного оновлення рішень. Саме це ми й робимо, вдруге запускаючи багбаунті Дії, і даємо можливість кожному протестувати захищеність застосунку та переконатися, що цифрові документи та сервіси — це безпечно. За кожен знайдений баг отримаєте винагороду. Ми робимо все для того, щоб захистити державні сервіси та вибудувати довіру українців до них”, – зазначив Михайло Федоров.

Знайдені вразливості будуть проаналізовані командою спеціалістів Мінцифри, що дозволить посилити систему захисту Дії. У разі її підтвердження буде виплачена винагорода в залежності від категорії складності: за виявлення мінімальної вразливості (P5) — від $200 до $250, критичної вразливості (P1) — від $4100 до $4500.

Багбаунті проходитиме на платформі Bugcrowd, як і минулого разу. Це одна з найбільших міжнародних компаній, що спеціалізується на кібербезпеці й багбаунті.

Важливо, що для тестувальників буде створено окреме тестове середовище — копія застосунку Дія. Однак без доступу до зовнішніх інформаційних систем: держреєстрів, банківських систем (реєстрація в застосунку відбувається через BankID) та інформаційних систем вендорів (функціонал для шерингу документів).

ДОВІДКА PAYSPACE MAGAZINE

17 травня Міністерство цифрової трансформації провело Diia Summit 2.0 – онлайн-презентацію нових електронних послуг в мобільному додатку та на порталі “Дія”. Серед них такі очікувані, як зміна місця реєстрації, подача декларацій і оплата податків в декілька кліків, е-підпис і т.д.

ЧИТАЙТЕ ТАКОЖ: Спецрежим для ІТ: що передбачає оновлений проєкт “Дія. Сіті”