Министерство цифровой трансформации снова запускат багбаунти приложения Дія с призовым фондом в 1 млн грн ($ 35 000). Программа багбаунти предусматривает вознаграждение за каждую найденную уязвимость в коде. Это поможет выявить возможные недостатки и устранить их.
В декабре Минцифра проводила первый этап багбаунти. В нем участвовали «этические хакеры» — специалисты по поиску программных недостатков со всего мира. Тогда в приложении не выявили серьезных уязвимостей.
Второй этап багбаунти продлится 6 месяцев. Приоритет этого этапа — тестирование Дія.Підпису. Не менее важной будет проверка создания электронных копий документов и их шеринг.
«Мы делаем все для того, чтобы защитить государственные сервисы и выстроить доверие украинцев к ним», — отметил Михаил Федоров.
Найденные уязвимости будут проанализированы командой специалистов, что позволит усилить систему защиты Дія. В случае ее подтверждения будет выплачено вознаграждение. Она будет делиться по нескольким категориям сложности: при обнаружении минимальной уязвимости (P5) — от 200 до 250 долларов, критической уязвимости (P1) — от 4100 до 4500 долларов.Важно, что для тестировщиков будет создано отдельная тестовая среда — копия приложения Дія. Однако без доступа к внешним информационным системам: госреестров, банковских систем (регистрация в приложении происходит из-за BankID) и информационных систем вендоров (функционал для Шеринг документов).
Одно из главных преимуществ программ багбаунти — хакерам интересно искать сложные уязвимости, ведь от этого зависит размер вознаграждения. Чем сложнее уязвимость, тем больше вознаграждение. Когда систему тестируют одновременно много людей с разным опытом и методами, это помогает эффективнее выявить потенциальные недостатки.
Реализация багбаунти проходит при поддержке международной платформы Bugcrowd и проекта Агентства по международному развитию США (USAID) "Кибербезопасность критически важной инфраструктуры Украины".