Новости
Обновлено: Минцифра раскрыла детали соревнования по взлому «Дії» с призовым фондом 1 млн гривен, поучаствовать в ней смогут только избранные

Обновлено: Минцифра раскрыла детали соревнования по взлому «Дії» с призовым фондом 1 млн гривен, поучаствовать в ней смогут только избранные

Обновлено: Минцифра раскрыла детали соревнования по взлому «Дії» с призовым фондом 1 млн гривен, поучаствовать в ней смогут только избранные


В минувшую пятницу Минцифра анонсировала предстоящий Bug Bounty марафон — соревнование для «белых» хакеров по взлому приложения «Дія» с призовым фондом 1 млн грн. Сегодня в рамках пресс-брифинга ведомство раскрыло детали.

Обновлено:

В комментарии AIN.UA первый заместитель Министра цифровой трансформации Алексей Выскуб объяснил выбор американской платформы Bugcrowd «нездоровой конкуренцией» среди украинских аналогов и тем, что программа финансируется за счет агентства по международному развитию США (USAID).

«Мы вели общение со многими площадками для изучения опыта и методологий, в том числе и с HackenProof, потому что у нас к «Дія» огромное внимание. И даже консультируясь с отдельными украинскими площадками, мы чувствовали нездоровую конкуренцию – провели встречу с представителями одной площадки, вторые сразу пишут, что это будет не багбаунти, а имитация. И так каждый про каждого.

Поэтому решили попросить помощи у USAID выбрать мирового лидера, к которому точно ни у кого не будет вопросов как внутри страны, так и вне».

Алексей Выскуб, заместитель Министра цифровой трансформации Украины

Также в Минцифре рассказали, что это только первый этап (второй этап запланирован на 2021 год), а также пообещали в будущем увеличить продолжительность соревнований и сделать регистрацию открытой.

В рамках состязания инженеры по безопасности со всего мира смогут проверить мобильное приложение «Дія» на прочность — и получить вознаграждение за выявленные уязвимости. Соревнование будет проходить ровно неделю — с 8 по 15 декабря. Призовой фонд — 1 млн грн (35 тыс. долларов).

Партнером Минцифры по инициативе, реализуемой при содействии агентства по международному развитию США (USAID), выступает краудсорсинговая платформа безопасности Bugcrowd. В Минцифре особо подчеркивают, что участники будут работать в специальной тестовой среде без каких-либо персональных данных пользователей.

«Сегодня  в приложении «Дія» уже более 6 млн украинцев. Мы посвящаем 80% нашего [рабочего] времени, чтобы сделать «Дію» безопасной. На сегодня это наиболее защищенный продукт, который создавался за последние годы. Команда Минцифры получила аттестат КСЗИ на «Дію» версии 2.0. Это самая высокая оценка качества с точки зрения безопасности IT-продуктов в нашей стране. Мы также прошли два пентеста на выявление уязвимостей. Теперь мы делаем следующий важный шаг — запускаем процесс багбаунти. Это возможность протестировать лучшим белым хакерам уязвимость [видимо, имелось в виду защищенность/прочность] «Дії»», — заявил Михаил Федоров.

Информацию о найденных уязвимостях проанализируют специалисты Bugcrowd и разработчики «Дія», после чего будет принято окончательное решение о выплате вознаграждений по каждому отдельному случаю. Награды будут распределены по категориям сложности найденных багов. Минцифра утвердила следующую шкалу:

  • первый уровень сложности — до $3500;
  • второй — до $1200;
  • третий — до $600;
  • четвертый — до $250.

Увы, ведомство не раскрывает точные критерии оценки.

Всего в марафоне поучаствует 50 хакеров, которые выберет Bugcrowd из базы лучших хакеров мира.


Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: