До $1000 за уязвимость: «белых» хакеров зовут обсудить bug bounty в государственных IT-системах Украины
Организаторы Prozorro Big Bounty, программы поиска уязвимости в электронной системе публичных закупок в Украине, приглашают специалистов по кибербезопасности и «белых» хакеров обсудить, как улучшить программу, говорится в сообщении, поступившем в редакцию Highload. Подробнее о программе и о том, как принять участие в обсуждении читайте далее.
Подобные практики обнаружения уязвимостей уже давно используют в крупных IT-компаниях. Главная цель — улучшить защиту данных и сделать систему устойчивее к кибератакам.
Пилотный проект Prozorro был запущен полтора года назад. С тех пор, по словам организаторов, багхантеры обнаружили 68 уязвимостей, 43 из которых оказались некритическими.
Условия участия и вознаграждения
Все происходит в правовом поле. Участникам доступна pre-production environment (тестовая среда):
- копия центральной базы данных;
- официальный портал;
- кабинет Антимонопольного комитета Украины;
- кабинет Государственной аудиторской службы;
- площадки, привлеченные к программе Bug Bounty.
Организаторы гарантируют правовую безопасность всем участникам при соблюдении правил программы и неограниченное количество времени на исследование. За найденные уязвимости багхантер получает денежное вознаграждение и попадает в рейтинг участников, который ведется на портале.
Примечание: уязвимости уровня Р4 не вознаграждаются, но по ним начисляются баллы, уязвимости уровня Р5 не принимаются и не вознаграждаются.
Правила начисления баллов описаны ниже:
Подробнее об условиях участия можно почитать здесь.
В начале программы хантеры получали символические подарки — жесткие диски и фирменные свитшоты. Теперь участники могут получить за обнаружения одной уязвимости до $1000.
Онлайн-дискуссия о Prozorro Bug Bounty состоится 4 ноября. Все желающие принять в ней участие могут зарегистрироваться по ссылке.
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: