Миллион гривен или $35 000: Белых хакеров со всего мира призвали протестировать украинское приложение "ДиЯ"

Об этом сообщает Depo.ua со ссылкой на "Правительственный портал".

Отмечается, что цель Минцифры — сделать так, чтобы украинцы были уверены в защищенности своих персональных данных и доверяли украинским сервисам.

"Мы постоянно подтверждаем защищенность приложения. Например, получили аттестат соответствия Комплексной системы защиты информации (КСЗИ) на" ДиЯ 2.0 ". Это очень важный шаг, ведь он означает, что "ДиЯ" является безопасной. Также успешно прошли два pen-теста при поддержке проекта USAID "Кибербезопасность критически важной инфраструктуры в Украине" и Академии электронного управления Эстонии", — отметили в министерстве.

Теперь Минцифры проводит багбаунти приложения "ДиЯ" с призовым фондом в 1 миллион гривен, что является возможностью для белых хакеров со всего мира "взломать" копию приложения и найти уязвимости в "ДиЯ 2.0".

Условия багбаунти просты: чем серьезнее уязвимость, тем большая выплата.

Уточняется, что в каждой категории сложности может быть несколько специалистов, которые найдут уязвимости. Поэтому комиссия разработчиков будет принимать решение о выделении средств после того, как баги будут обнаружены.

"В любом случае мы внимательно рассмотрим каждую уязвимость и баг и наградим каждого хакера, который найдет недостатки в тестовом приложении "ДиЯ", — добавили в Минцифры.

Сообщается, что, соответственно, вознаграждение будет разделено по нескольким категориям сложности уязвимости:

• первый уровень сложности — до $3,500;
• второй — до $1,200;
• третий — до $600;
• четвертый — до $250.

В министерстве пояснили, что в процессе багбаунти белые хакеры получат доступ к фактической копии продуктовой среды (исключая доступ к государственным реестрам и другим информационным системам). Это позволит максимально избежать возможности утечки уязвимостей.

"Важно понимать разницу между белыми хакерами, которых мы приглашаем на багбаунти, и черными хакерами. Черные — это те, которые занимаются взломом информационных систем с целью мошенничества, чтобы заработать на похищенных данных. В целом вся система белого хакинга построена таким образом, чтобы невозможно было украсть любые данные. Белые хакеры высоко ценят свою репутацию и публичные профессиональные рейтинги. А те, кто занимается черным хакерством, всегда избегают любой публичности", — пояснили в ведомстве.

Также чиновники отметили, что Bugcrowd берет на себя практически все операционные расходы, что позволит команде Минцифры сосредоточиться на устранении выявленных уязвимостей (если таковые будут).

"После завершения первого этапа багбаунти планируется продолжать эту практику и в дальнейшем. Уже в следующем году будет проведен второй этап, который продлится дольше и позволит каждому специалисту по кибербезопасности попробовать свои силы в тестировании "ДиЯ" на уязвимости", — подытожили в Минцифры.

Напомним, в конце ноября глава Минцифры пообещал дать миллион тому хакеру, который сможет взломать "ДиЯ".

Сообщалось также, что Украина получит от Швеции и ООН 128 миллионов на цифровизацию.