10/02/2023

В 2022 году количество попыток взлома государственных ресурсов выросло на 80% по сравнению с 2021 г. Минцифры предлагает специалистам и всем желающим присоединиться к программе Bug Bounty, чтобы отработать новые сценарии взлома и найти максимум уязвимостей в защите государственных информационных систем.

Для этого Минцифры запускает пилотный проект по поиску уязвимостей в инфраструктуре электронного правительства. За успешную работу багхантеры получат до 1 млн рублей. Программа пройдёт на двух платформах в несколько этапов. В первом этапе, который продлится три месяца, участвуют портал государственных услуг (Госуслуги) и ЕСИА — единая система идентификации и аутентификации. 

После каждого из этапов Минцифры подведёт итоги и анонсирует новые условия: сроки, бюджет, системы для проверки.

Программу спонсирует Ростелеком, призовой фонд составляет 10 млн рублей. Вознаграждение охотника за уязвимостями зависит от степени важности самой уязвимости:

  • низкая — подарки с символикой проекта;
  • средняя — до 50 тыс. рублей;
  • высокая — от 50 до 200 тыс. рублей;
  • критическая — до 1 млн рублей и благодарность от команды Минцифры.

Тестирование доступно на платформах:

Чтобы принять участие в Bug Bounty, нужно: 

  1. Зарегистрироваться на выбранной платформе;
  2. Ознакомиться и согласиться с условиями программы;
  3. Найти уязвимость, не нарушая правил;
  4. Отправить информацию об уязвимости через платформу;
  5. Дождаться подтверждения уязвимости от Минцифры.

Исследователи будут действовать по установленным правилам. Работа на платформе позволит определить логику потенциальных хакеров, эти данные будут использованы для дополнительной защиты информационных систем.

Все подробности о программе и ссылки для регистрации можно найти на сайте «Госуслуг».

Bug Bounty — это публичная программа поиска уязвимостей за вознаграждение. Она позволяет привлечь независимых исследователей и сделать исследуемую систему ещё более безопасной.