Взломать за миллион. Как Минцифры проведет программу Bug Bounty «Дії»

На презентации электронных услуг Diia Summit министр цифровой трансформации Михаил Федоров объявил о планах провести программу Bug Bounty «Дії» в ноябре. За взлом приложения он пообещал 1 млн грн. Расспросили Минцифры об условиях и процедуре проведения Bug Bounty программы, а также о распределении призового фонда.

Что случилось

5 октября Минцифры анонсировало программу Bug Bounty приложения «Дія». В ее рамках участники занимаются поиском ошибок и уязвимостей того или иного софта. За их обнаружение они получают вознаграждение от разработчиков. К примеру, Facebook выдавал энтузиастам дебетовые карты White Hat, куда начислял деньги за найденные уязвимости.
Вознаграждение получат и участники Bug Bounty приложения «Дія». Федоров заявил, что тот, кто сможет взломать «Дію», «получит миллион в приз». В эфире программы «Свобода слова Савика Шустера» он детализировал планы министерства:
«Есть такая мировая практика, она называется Bug Bounty. Я обещал это сделать и запустить. Мы с ноября месяца запускаем Bug Bounty, собираем «белых» хакеров, делаем копию «Дія» и даем возможность ее сломать. Это не публичное мероприятие, но мы приглашаем всех, будем это анонсировать и делать».

Кто получит миллион

Похоже, целый миллион не получит никто. В министерстве рассказали, что 1 млн грн — это общий призовой фонд. Его распределят между специалистами, которые найдут уязвимости, «в зависимости от критичности багов». Программа Bug Bounty будет реализована в рамках проекта международной технической помощи USAID «Кибербезопасность критически важной инфраструктуры в Украине». Вероятно, USAID и даст деньги на призовой фонд.
В Минцифры еще определяются с международной профильной организацией, которая будет организовывать Bug Bounty. Также ведомство еще не выбрало формат вручения награды.

Как будет проходить Bug Bounty

Международная профильная организация проведет сбор публичных заявок на участие от специалистов в сфере информационной безопасности. Далее она оценит их и выберет тех, чьих компетенций и опыта достаточно для тестирования «Дії».
У участников будет время (ориентировочно 5 дней) для поиска уязвимостей и тестирования. Для этого они получат точную копию мобильного приложения «Дія» — как back-end, так и front-end. При этом она не будет содержать никаких персональных данных.
Таким образом, все исследования и атаки во время Bug Bounty не будут влиять на само мобильное приложение «Дія». После проведения программы Минцифры при необходимости планирует привлекать внешних специалистов для тестирования уязвимости других проектов.

Кто еще тестировал «Дію»

Также Минцифры отмечает, что для «Дії» регулярно проводятся как государственные, так и коммерческие пен-тесты. Участие в тестировании принимали:

• Государственная служба специальной связи и защиты информации;
• украинский офис EPAM Systems;
• Департамент контрразведывательной защиты интересов государства в сфере информационной безопасности СБУ;
• другие украинские и международные организации.