Восемь тысяч “белых хакеров”, 34 уязвимости и 350 тыс. рублей максимальной выплаты — Минцифры отчиталось об участие “Госуслуг” на платформах BI.ZОNE Bug Bounty и Standoff 365.
Доступа к внутренним данным госпортала у багхантеров не было. Госуслуги “выставили” на bug bounty в феврале этого года. Публичные программы по поиску уязвимостей запустили сразу на двух платформах — BI.ZОNE Bug Bounty и Standoff 365. За три месяца в эксперименте приняли участие более 8,4 тыс. багхантеров, рассказали в Минцифры.
За критическую уязвимость “белым хакерам” обещали до 1 млн рублей, за мелкие баги — мерч с символикой проекта. Спонсировал программу “Ростелеком”.
В итоге максимальная выплата за найденный баг составила 350 тыс. рублей, минимальная — 10 тыс. рублей, отчитались в Минцифры. Всего было обнаружено 34 уязвимости, большинство из которых — со средним и низким уровнем критичности.
Общую сумму потраченных денег озвучивать не стали. Всего в поисках уязвимостей на “Госуслугах” успели поучаствовать 8,4 тыс. багхантеров. Средний возраст — 28 лет. Самому взрослому энтузиасту было 55 лет, самому юному — 17.
Работа исследователей помогла улучшить систему безопасности Госуслуг, признают в Минцифры. При этом доступа к внутренним данным портала у багхантеров не было, подчеркнули в ведомстве. “Участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга, чтобы их нельзя было использовать для взлома”, — говорится в отчете.
Эксперт выразил надежду, что Минцифры станет примером для других организаций. “Разместив программу на нашей платформе, министерство показало готовность и зрелость госструктур для багбаунти, — соглашается директор департамента анализа защищённости и противодействия мошенничеству, директор по стратегии BI.ZОNE Евгений Волошин.
— За это короткое время ведомство уже смогло проверить многие ресурсы и повысить их защищённость”. В Минцифры уже пообещали продолжать подобные эксперименты, а также расширить действие программы на другие ведомства.
Доступа к внутренним данным госпортала у багхантеров не было. Госуслуги “выставили” на bug bounty в феврале этого года. Публичные программы по поиску уязвимостей запустили сразу на двух платформах — BI.ZОNE Bug Bounty и Standoff 365. За три месяца в эксперименте приняли участие более 8,4 тыс. багхантеров, рассказали в Минцифры.
За критическую уязвимость “белым хакерам” обещали до 1 млн рублей, за мелкие баги — мерч с символикой проекта. Спонсировал программу “Ростелеком”.
В итоге максимальная выплата за найденный баг составила 350 тыс. рублей, минимальная — 10 тыс. рублей, отчитались в Минцифры. Всего было обнаружено 34 уязвимости, большинство из которых — со средним и низким уровнем критичности.
Общую сумму потраченных денег озвучивать не стали. Всего в поисках уязвимостей на “Госуслугах” успели поучаствовать 8,4 тыс. багхантеров. Средний возраст — 28 лет. Самому взрослому энтузиасту было 55 лет, самому юному — 17.
Работа исследователей помогла улучшить систему безопасности Госуслуг, признают в Минцифры. При этом доступа к внутренним данным портала у багхантеров не было, подчеркнули в ведомстве. “Участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга, чтобы их нельзя было использовать для взлома”, — говорится в отчете.
Эксперт выразил надежду, что Минцифры станет примером для других организаций. “Разместив программу на нашей платформе, министерство показало готовность и зрелость госструктур для багбаунти, — соглашается директор департамента анализа защищённости и противодействия мошенничеству, директор по стратегии BI.ZОNE Евгений Волошин.
— За это короткое время ведомство уже смогло проверить многие ресурсы и повысить их защищённость”. В Минцифры уже пообещали продолжать подобные эксперименты, а также расширить действие программы на другие ведомства.
