В начале февраля Минцифры запустило проект по поиску уязвимостей на Госуслугах. В течение трех месяцев более 8,4 тыс. участников багбаунти проверяли защищенность портала и боролись за вознаграждение: подарки с символикой проекта — если найдены небольшие баги, и денежные призы до 1 млн рублей — за критические уязвимости, пишет «Российская газета«.
Как рассказали в Минцифры, в итоге максимальная выплата за найденный баг составила 350 тыс. рублей, минимальная — 10 тыс. рублей. Всего было обнаружено 34 уязвимости, большинство из которых — со средним и низким уровнем критичности.
Всего в проекте по поиску уязвимостей участвовало 8,4 тыс. белых хакеров со всей страны. Средний возраст багхантеров составил 28 лет, минимальный — 17, а максимальный — 55 лет.
В Минцифры особо отметили, что доступа к внутренним данным у багхантеров не было. Участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга, чтобы их нельзя было использовать для взлома. Тестирование проходило на платформах BI.ZОNE Bug Bounty и Standoff 365. Спонсором проекта выступил Ростелеком, РТК-Солар является оператором информационной защиты портала Госуслуг. В будущем планируется и дальше проводить багбаунти Госуслуг, а также расширить действие программы на другие ведомства.
«Платформа «Госуслуг», объединившая более 100 млн пользователей, — уникальный ресурс, которому трудно подобрать аналоги в мире. Это настоящий магнит для хакеров. Мы понимаем, что в эпоху тотальной цифровизации невозможно гарантировать безупречную цифровую безопасность, а значит, особенно важно быть на шаг впереди киберпреступников. Программа еще раз доказала высокий уровень защиты платформы — ни один участник не смог найти действительно серьезной уязвимости», — рассказал Игорь Ляпунов, старший вице-президент по информационной безопасности ПАО «Ростелеком», генеральный директор «РТК-Солар».
«Надеемся, что Минцифры станет примером для других организаций и вскоре еще больше компаний станут приходить на багбаунти в публичном или закрытом формате и проверять безопасность усилиями нескольких тысяч наших ИБ-исследователей», — отметил Анатолий Иванов, руководитель направления багбаунти Standoff 365.
«Разместив программу на нашей платформе, министерство показало готовность и зрелость госструктур для багбаунти. Независимые исследователи, в свою очередь, были рады и очень заинтересованы в возможности проверить на прочность сервисы государственного масштаба, при этом получив за это внушительное вознаграждение», — рассказывает Евгений Волошин, директор департамента анализа защищённости и противодействия мошенничеству, директор по стратегии BI.ZОNE.