27 липня Мінцифра провела онлайн-брифінг з анонсованого вчора Bug Bounty, де повідомила всі деталі нового етапу марафону по зламу застосунку Дія з призовим фондом в 1 млн грн ($35 000).
У грудні Мінцифра проводила перший етап багбаунті з «білими хакерами» — тоді у застосунку не виявили вразливості, які впливали б на безпеку. Другий етап багбаунті відбуватиметься за новими правилами.
Як і минулого разу, конкурс проходитиме на американській платформі Bugcrowd. Але цього разу він відкритий, то ж взяти участь може кожен охочий (незалежно від досвіду та кваліфікації). Окрім того, тривалість конкурсу значно збільшили — він триватиме не тиждень, як минулого разу, а цілих 6 місяців. Від сьогодні, 27 липня, всі охочі можуть спробувати зламати «Дію». Зареєструватися можна — за ось цим посиланням.
Розмір грошової нагороди залежатиме від значущості та рівня складності знайденої вразливості. Затверджена Мінцифрою шкала включає чотири рівні.
- 1️⃣ рівень складності — $4,100 — $4,500
- 2️⃣ рівень — від $1,500 до $1,750
- 3️⃣ рівень — від $600 до $850
- 4️⃣ рівень — від $200 до $250
Більш детальної інформації щодо критеріїв оцінки немає.
Пріоритет цього етапу — тестування Дія.Підпису. Не менш важливою буде перевірка створення електронних копій документів та їх шерингу.
Для тестувальників буде створено окреме тестове середовище — копія застосунку Дія. Однак без доступу до зовнішніх інформаційних систем: держреєстрів, банківських систем (реєстрація в застосунку відбувається через BankID) та інформаційних систем компаній (функціональність для шерингу документів).
Реалізація багбаунті відбувається за підтримки міжнародної платформи Bugcrowd та проєкту Агентства з міжнародного розвитку США (USAID) “Кібербезпека критично важливої інфраструктури України”. Мета ініціативи — підвищити захищеність застосунку Дія.