Мінцифра запускає багбаунті Дії з призовим фондом в 1 мільйон гривень. Долучитись зможе кожен
27/07/2021
Мінцифра запускає багбаунті Дії з призовим фондом в 1 мільйон гривень. Долучитись зможе кожен

Безпека застосунку Дія — один із пріоритетів для Мінцифри. Розуміючи швидкість змін у сфері кібербезпеки, ми постійно покращуємо захист наших продуктів та державних сервісів. Саме тому вдруге запускаємо багбаунті застосунку Дія з призовим фондом в 1 млн грн ($35 000). Програма багбаунті передбачає винагороду за кожну знайдену вразливість у коді. Це допоможе виявити можливі недоліки та усунути їх.

У грудні Мінцифра проводила перший етап багбаунті. У ньому брали участь "етичні хакери" — спеціалісти з пошуку програмних недоліків — з усього світу. У застосунку не виявили вразливості, які впливали б на безпеку. Цього разу запускаємо другий етап багбаунті з новими правилами. Проведемо відкритий для всіх охочих багбаунті, в якому зможе взяти участь кожен (незалежно від досвіду та кваліфікації). 

Другий етап багбаунті триватиме 6 місяців. Пріоритет цього етапу — тестування Дія.Підпису. Не менш важливою буде перевірка створення електронних копій документів та їх шерингу.

Ми розуміємо, що неможливо вибудувати суперзахист один раз і бути впевненим, що ніхто не зможе його зламати. Питання кіберзахисту потребує постійного оновлення рішень. Саме це ми й робимо, вдруге запускаючи багбаунті Дії, і даємо можливість кожному протестувати захищеність застосунку та переконатися, що цифрові документи та сервіси — це безпечно. За кожен знайдений баг отримаєте винагороду. Ми робимо все для того, щоб захистити державні сервіси та вибудувати довіру українців до них”, — зазначив Михайло Федоров. 

Знайдені вразливості будуть проаналізовані нашою командою спеціалістів, що дозволить нам посилити систему захисту Дії. У разі її підтвердження буде виплачена винагорода. Вона буде ділитися за кількома категоріями складності: за виявлення мінімальної вразливості (P5) — від 200 до 250 доларів, критичної вразливості (P1) — від 4100 до 4500 доларів.

Проєкт USAID “Кібербезпека критично важливої інфраструктури в Україні” радий підтримати запуск Мінцифрою чергового етапу багбаунті Дії. Це дозволить залучити більше тестувальників застосунку протягом тривалішого терміну, допоможе підвищити рівень довіри до Дії та посилити безпечність сервісу. Такий крок є невід’ємною частиною процесу цифрової трансформації. Проєкт також активно співпрацює з рядом інших стейкхолдерів для посилення кіберстійкості України. Ми маємо налагоджені партнерські зв'язки з представниками українського бізнесу та профільних ЗВО для розвитку кадрового потенціалу та приватного сектору для захисту критично важливої інфраструктури”, — підкреслив Тімоті Дубел, керівник проєкту USAID “Кібербезпека критично важливої інфраструктури України”.

Багбаунті проходитиме на платформі Bugcrowd, як і минулого разу. Це одна з найбільших міжнародних компаній, що спеціалізується на кібербезпеці й багбаунті.

Зареєструватися можна — за
посиланням.

Важливо, що для тестувальників буде створено окреме тестове середовище — копія застосунку Дія. Однак без доступу до зовнішніх інформаційних систем: держреєстрів, банківських систем (реєстрація в застосунку відбувається через BankID) та інформаційних систем вендорів (функціонал для шерингу документів).

Одна з головних переваг програм багбаунті — хакерам цікаво шукати складні вразливості, адже від цього залежить розмір винагороди. Чим складніша уразливість, тим більша винагорода. Коли систему тестують одночасно багато людей із різним досвідом і методами, це допомагає ефективніше виявити потенційні недоліки. 

Реалізація багбаунті відбувається за підтримки міжнародної платформи Bugcrowd та проєкту Агентства з міжнародного розвитку США (USAID) “Кібербезпека критично важливої інфраструктури України”.

Файли Cookie
Дія не зберігає дані, але використовує cookies щоб працювати правильно. Натисніть «Дозволити всі», якщо ви погоджуєтесь на використання порталом цих файлів.
Центр налаштування конфіденційності
Ваш браузер зберігає та отримує інформацію у формі cookie файлів. Вона може стосуватись вас, ваших інтересів або вашого пристрою. Ця інформація не ідентифікує безпосередньо вас, але персоналізує ваш вебдосвід. Файли cookie потрібні для того, щоб персоналізувати ваше користування Порталом та зробити його приємнішим і зручнішим. Ми також використовуємо їх, щоб пропонувати вам рекламу відповідно до ваших інтересів на інших сайтах та застосунках. Ви можете активувати або деактивувати файли cookie, крім необхідних для роботи Порталу. Пам’ятайте, що блокування деяких файлів може вплинути на ваше користування Порталом та його функціонування. Натисніть «Дозволити всі», якщо ви погоджуєтесь на використання Порталом цих файлів. Якщо ви не виберете жодного типу cookie, це означатиме заборону всіх типів цих файлів.
Обов’язкові файли cookie
Вони потрібні, щоб реагувати на ваші запити, початок сеансу, авторизацію чи заповнення форм. Ви можете налаштувати свій браузер так, щоб він блокував ці файли або ж сповіщав про їх використання. У такому разі деякі частини Порталу не працюватимуть. Cookie не зберігають особисту інформацію
Outdated Browser
Для комфортної роботи в Мережі потрібен сучасний браузер. Тут можна знайти останні версії.
Outdated Browser
Цей сайт призначений для комп'ютерів, але
ви можете вільно користуватися ним.
67.15%
людей використовує
цей браузер
Google Chrome
Доступно для
  • Windows
  • Mac OS
  • Linux
9.6%
людей використовує
цей браузер
Mozilla Firefox
Доступно для
  • Windows
  • Mac OS
  • Linux
4.5%
людей використовує
цей браузер
Microsoft Edge
Завантажити
Доступний тільки з Windows 10
Доступно для
  • Windows
6.5%
людей використовує
цей браузер
Apple Safari
Завантажити
Доступний тільки з macOS
Доступно для
  • Mac OS
3.15%
людей використовує
цей браузер
Доступно для
  • Windows
  • Mac OS
  • Linux