Новый этап программы bug bounty от Минцифры Украины получил бюджет в размере 1 млн гривен, сообщили в министерстве. Вознагражение будет разделено между айтишниками, нашедшими уязвимости в приложении «Дiя» разных категорий сложности. В этом году принять участие в программе сможет каждый желающий.
Bug bounty — хакатон по поиску ошибок в приложении, краш-тест сервиса. Участникам отдается на проверку действующая копия приложения «Дiя», в котором есть данные сгенерированных пользователей, а не настоящие данные людей.
Как подчеркнули в пресс-службе Минцифры, специалисты не будут иметь без доступ к внешним информационным системам: госреестрам, банковским системам (регистрация в приложении происходит через BankID) и информационным системам вендоров (функционал для шеринга документов).
Фото: Facebook Михайло Федоров
Найденные уязвимости будут проанализированы командой специалистов Минцифры, и, если вы действительно найдете небольшой баг или опасную «брешь» в безопасности «Дії», их подтвердят и вам будет выплачено вознаграждение. Общий бюджет в размере 1 млн грн будет разделен между участниками, размер выплаты зависит от категории сложности: при обнаружении минимальной уязвимости (P5) — $200-250, критической уязвимости (P1) — $4100-4500.
Кстати, о старте bug bounty недавно объявил и украинский стартап Grammarly — онлайн-сервис на основе искусственного интеллекта для помощи в написании текстов на английском языке. Первому айтишнику, который найдет критическую уязвимость, заплатят $100 тысяч, за незначительные уязвимости — $2,5 тыс., $12,5 тыс., $25 тыс. (в зависимости от категории).
Bug bounty Минцифры будет проходить в течение полугода (или пока не закончатся деньги в бюджете), платформой для тестирования приложения станет Bugcrowd — одна из крупнейших международных компаний, специализирующейся на кибербезопасности и bug bounty.
Приоритет этого этапа — тестирование технологии «Дiя.Пiдпис» (новый вид электронной подписи: технология, которая работает на основе сравнения лица человека в момент подписи с лицом в паспорте, она позволяет буквально «подписывать лицом» документы), а также проверка механизма создания электронных копий документов и их шеринга.
Фото: Facebook Mstyslav Banik
Зарегистрироваться для участия можно здесь.
Первый этап проходил в декабре 2020 года в течение недели. Для участия было приглашено 83 исследователя компании Bugcrowd, 27 приняли участие. Специалистам не удалось найти уязвимости, связанные с утечками персональных данных. Хотя были выявлены баги: например, при выполнении определенных действий может свернуться мобильное приложение. Еще одна уязвимость: по номеру VIN-кода автомобиля можно узнать информацию об автоцивилке.
Сегодня мы поговорим о том, как выбрать лучшие курсы Power BI в Украине, особенно для…
В 2023 году во всех крупнейших регионах конкуренция за вакансию выросла на 5–12%. Не исключением…
Unicorn Hunter/Talent Manager Лина Калиш создала бесплатный трекер поиска работы в Notion, систематизирующий все этапы…
Edtech-стартап Mate academy принял решение отправить своих работников в десятидневный отпуск – с 25 декабря…
Служба безопасности Украины задержала в Киеве 46-летнего программиста, который за деньги устанавливал шпионские программы и…
IT-специалист Джордан Катлер создал и выложил на Github подборку разнообразных ресурсов, которые помогут достичь уровня…