Новый этап программы bug bounty от Минцифры Украины получил бюджет в размере 1 млн гривен, сообщили в министерстве. Вознагражение будет разделено между айтишниками, нашедшими уязвимости в приложении «Дiя» разных категорий сложности. В этом году принять участие в программе сможет каждый желающий.
Bug bounty — хакатон по поиску ошибок в приложении, краш-тест сервиса. Участникам отдается на проверку действующая копия приложения «Дiя», в котором есть данные сгенерированных пользователей, а не настоящие данные людей.
Как подчеркнули в пресс-службе Минцифры, специалисты не будут иметь без доступ к внешним информационным системам: госреестрам, банковским системам (регистрация в приложении происходит через BankID) и информационным системам вендоров (функционал для шеринга документов).
Фото: Facebook Михайло Федоров
Найденные уязвимости будут проанализированы командой специалистов Минцифры, и, если вы действительно найдете небольшой баг или опасную «брешь» в безопасности «Дії», их подтвердят и вам будет выплачено вознаграждение. Общий бюджет в размере 1 млн грн будет разделен между участниками, размер выплаты зависит от категории сложности: при обнаружении минимальной уязвимости (P5) — $200-250, критической уязвимости (P1) — $4100-4500.
Кстати, о старте bug bounty недавно объявил и украинский стартап Grammarly — онлайн-сервис на основе искусственного интеллекта для помощи в написании текстов на английском языке. Первому айтишнику, который найдет критическую уязвимость, заплатят $100 тысяч, за незначительные уязвимости — $2,5 тыс., $12,5 тыс., $25 тыс. (в зависимости от категории).
Bug bounty Минцифры будет проходить в течение полугода (или пока не закончатся деньги в бюджете), платформой для тестирования приложения станет Bugcrowd — одна из крупнейших международных компаний, специализирующейся на кибербезопасности и bug bounty.
Приоритет этого этапа — тестирование технологии «Дiя.Пiдпис» (новый вид электронной подписи: технология, которая работает на основе сравнения лица человека в момент подписи с лицом в паспорте, она позволяет буквально «подписывать лицом» документы), а также проверка механизма создания электронных копий документов и их шеринга.
Фото: Facebook Mstyslav Banik
Зарегистрироваться для участия можно здесь.
Первый этап проходил в декабре 2020 года в течение недели. Для участия было приглашено 83 исследователя компании Bugcrowd, 27 приняли участие. Специалистам не удалось найти уязвимости, связанные с утечками персональных данных. Хотя были выявлены баги: например, при выполнении определенных действий может свернуться мобильное приложение. Еще одна уязвимость: по номеру VIN-кода автомобиля можно узнать информацию об автоцивилке.
Прокси (proxy), или прокси-сервер — это программа-посредник, которая обеспечивает соединение между пользователем и интернет-ресурсом. Принцип…
Согласитесь, было бы неплохо соединить в одно сайт и приложение для смартфона. Если вы еще…
Повсеместное распространение смартфонов привело к огромному спросу на мобильные игры и приложения. Миллиарды пользователей гаджетов…
В перечне популярных чат-ботов с искусственным интеллектом Google Bard (Gemini) еще не пользуется такой популярностью…
Скрипт (англ. — сценарий), — это небольшая программа, как правило, для веб-интерфейса, выполняющая определенную задачу.…
Дедлайн (от англ. deadline — «крайний срок») — это конечная дата стачи проекта или задачи…