monobank присоединился к Apple, Google, Microsoft и другим ведущим IT-компаниям, имеющим специальные программы с выплатами денежного вознаграждения за уязвимость в их ключевых продуктах — запуск собственной инициативы bug bounty только что анонсировал соучредитель проекта Олег Гороховский в своем Telegram-канале.
В рамках специальной программы monobank предлагает денежное вознаграждение всем заинтересованным «белым» хакерам — в обмен за сообщения об ошибках в продукте необанка, прежде всего, касающиеся безопасности и уязвимостей. И для этого monobank даже открывает собственный программный код.
Сегодня стартует первый этап конкурса, который продлится 01.12.2023 включительно. Общий призовой фонд – 1 миллион гривен. Для участия необходимо зарегистрироваться по онлайн-форме Google Forms по ссылке до 30.11 включительно.
Цель инициативы – повысить защищенность приложения monobank. Размер денежной награды, как обычно, зависит от значимости и уровня сложности обретенной уязвимости. Утвержденная monobank шкала включает четыре уровня – от 10 тыс. до 60 тыс. грн.
На самом деле monobank использует шкалу Bugcrowd — полную таблицу для детальной классификации, которая будет применена при оценке доступной на сайте краудсорсинговой платформы безопасности. Подробные условия участия и классификация типов уязвимостей в Правилах проведения Хакатона на официальном сайте Fintech Band.
Можно вспомнить, что в 2020 году Минцифры проводило схожий Bug Bounty марафон с призовым фондом 1 млн грн, чтобы проверить на стойкость к атакам приложение «Дія» — тогда ведомство по итогам заявило, что государственный сервис оказался неприступным для хакеров и никому не удалось взломать «Дію». Правда, к организации конкурса возникли вопросы из-за ограниченного доступа к участию.