До $1000 за уязвимость: «белых» хакеров зовут обсудить bug bounty в государственных IT-системах Украины

Организаторы Prozorro Big Bounty, программы поиска уязвимости в электронной системе публичных закупок в Украине, приглашают специалистов по кибербезопасности и «белых» хакеров обсудить, как улучшить программу, говорится в сообщении, поступившем в редакцию Highload. Подробнее о программе и о том, как принять участие в обсуждении читайте далее. 

Подобные практики обнаружения уязвимостей уже давно используют в крупных IT-компаниях. Главная цель — улучшить защиту данных и сделать систему устойчивее к кибератакам. 

Пилотный проект Prozorro был запущен полтора года назад. С тех пор, по словам организаторов, багхантеры обнаружили 68 уязвимостей, 43 из которых оказались некритическими. 

Условия участия и вознаграждения

Все происходит в правовом поле. Участникам доступна pre-production environment (тестовая среда): 

• копия центральной базы данных;
• официальный портал;
• кабинет Антимонопольного комитета Украины;
• кабинет Государственной аудиторской службы;
• площадки, привлеченные к программе Bug Bounty.

Организаторы гарантируют правовую безопасность всем участникам при соблюдении правил программы и неограниченное количество времени на исследование. За найденные уязвимости багхантер получает денежное вознаграждение и попадает в рейтинг участников, который ведется на портале. 

Примечание: уязвимости уровня Р4 не вознаграждаются, но по ним начисляются баллы, уязвимости уровня Р5 не принимаются и не вознаграждаются. 

Правила начисления баллов описаны ниже: 

Подробнее об условиях участия можно почитать здесь. 

В начале программы хантеры получали символические подарки — жесткие диски и фирменные свитшоты. Теперь участники могут получить за обнаружения одной уязвимости до $1000. 

Онлайн-дискуссия о Prozorro Bug Bounty состоится 4 ноября. Все желающие принять в ней участие могут зарегистрироваться по ссылке.