monobank доєднався до Apple, Google, Microsoft та інших провідних IT-компаній, які мають спеціальні програми з виплатами грошової винагороди за вразливості у їхніх ключових продуктах — запуск власної ініціативи bug bounty тільки що анонсував співзасновник проєкту Олег Гороховський у своєму Telegram-каналі.
В межах спеціальної програми monobank пропонує грошову винагороду усіх зацікавленим «білим» хакерам — в обмін за повідомлення про помилки в продукті необанку, насамперед ті, що стосуються питань безпеки та вразливостей. І для цього monobank навіть відкриває свій програмний код.
Сьогодні стартує перший етап конкурсу, який триватиме 01.12.2023 включно. Загальний призовий фонд — 1 мільйон гривень. Для участі потрібно реєструватися за онлайн-формою Google Forms за посиланням до 30.11 включно.
Мета ініціативи — підвищити захищеність застосунку monobank. Розмір грошової нагороди, як завжди, залежить від значущості та рівня складності знайденої вразливості. Затверджена monobank шкала включає чотири рівні — від 10 тис. до 60 тис. грн.
Насправді monobank використовує шкалу Bugcrowd — повна таблиця для детальної класифікації, яка буде застосована при оцінюванні доступна на сайті краудсорсингової платформи безпеки. Детальні умови участі та класифікація типів вразливостей у Правилах проведення Хакатону на офіційному сайті Fintech Band.
Можна пригадати, що у 2020 році Мінцифри проводило схожий Bug Bounty марафон з призовим фондом 1 млн грн, щоб перевірити на застосунок “Дія” — тоді відомство за підсумками заявило, що державний сервіс виявився неприступним для хакерів і нікому не вдалося зламати “Дію”. Щоправда, до організації конкурсу виникли питання через обмежений доступ до участі.