Сьогодні о 21:00 стартує Bug Bounty (програма, за допомогою якої інші програмісти допомагають розробникам розібратися й усунути помилки додатку чи сайту, перш ніж широка громадськість дізнається про них, - Mediasapiens) додатку «Дія». Перевіряти додаток на вразливість будуть тиждень - до 15 грудня 2020 року. Призовий фонд складає 1 млн для того, хто знайде вразливість у «Дії». Про це повідомляється на сайті Мінцифри.

Як пояснюють у міністерстві, мета Bug Bounty — зробити так, щоб українці були впевнені в захищеності своїх персональних даних та довіряли сервісам. Так також відмітили, що нещодавно додаток отримав атестат відповідності Комплексної системи захисту інформації (КСЗІ).  Також успішно пройшли два pen-тести за підтримки проєкту USAID «Кібербезпека критично важливої інфраструктури в Україні» та Академії електронного урядування Естонії. 

«Умови Bug Bounty прості: чим серйозніша ​​вразливість, тим більша виплата. У кожній категорії складності може бути кілька спеціалістів, які знайдуть уразливості. Тому комісія розробників прийматиме рішення щодо виділення коштів після того, як баги будуть виявлені. У будь-якому разі ми уважно розглянемо кожну вразливість і баг та нагородимо кожного хакера, який знайде недоліки в тестовому застосунку Дія», - відмічають у міністерстві. 

Відповідно винагороду буде поділено за декількома категоріям складності уразливості: перший рівень складності – до $3,500, другий – до $1,200, третій – до $600, а четвертий – до $250. 

У процесі Bug Bounty білі хакери матимуть доступ до фактично копії продуктового середовища (за виключенням доступу до державних реєстрів та інших інформаційних систем). Це дозволить максимально уникнути можливості витоку вразливостей.

Відзначається, що відбором хакерів займається команда Bugcrowd. У процесі використають технологію Crowdmatch - до участі запросять хакерів, що мають навички роботи з технологіями, які використовуються в «Дія», а також досвід роботи з мобільними додатками.

За даними видання AIN.UA, зареєструватися на Bug Bounty усім охочим не  можна. У Bugcrowd виберуть хакерів з бази кращих хакерів світу. Всього в програмі зможуть взяти участь 50 білих хакерів.

Також у міністерстві відмічають, що після завершення першого етапу Bug Bounty планується продовжувати цю практику і надалі. Вже наступного року буде проведено другий етап, який триватиме довше і надасть можливість кожному фахівцю з кібербезпеки спробувати свої сили в тестуванні «Дії» на вразливості.

Нагадаємо, Мінцифри у жовтні анонсувало проведення Bug Bounty додатку «Дія». Для цього створять копію основного додатка.

Фото: Pixabay