Bug Bounty «Дії» проведут с помощью платформы Bugcrowd. Почему этим недовольны украинские хакеры?
Глава Минцифры Михаил Федоров объявил о запуске Bug Bounty «Дії» с призовым фондом в 1 млн грн (около $35 000). Участников выберет американская платформа Bugcrowd, сообщил министр на своей странице в Facebook.
Что случилось
Ранее мы писали, что в октябре Минцифры анонсировало программу Bug Bounty приложения «Дія». В рамках этой процедуры участники занимаются поиском ошибок и уязвимостей того или иного софта. За их обнаружение «белые» хакеры получают вознаграждение от разработчиков. К примеру, Facebook выдавал энтузиастам дебетовые карты White Hat, куда начислял деньги за найденные уязвимости.
Министр цифровой трансформации Михаил Федоров сообщил, что с 8 по 15 декабря «белые» хакеры будут искать в приложении «Дія» уязвимости, «ломая» ее копию.
Как будет проходить Bug Bounty «Дії»
Bug Bounty «Дії» проведут при поддержке американской платформы Bugcrowd и спонсорстве USAID. В начале процедуры Bugcrowd выберет 50 лучших «белых» хакеров со всего мира с необходимыми для «взлома» навыками. Они будут искать уязвимости в приложении. Обнаруженные проблемы проанализируют специалисты Bugcrowd и команда «Дії».
Если уязвимости подтвердят, за находку выплатят вознаграждение. За первый уровень сложности — до $3500, за второй — до $1200, за третий — до $600, за четвертый — до $250. Команда Bugcrowd берет на себя практически все операционные расходы.
Украинские хакеры недовольны
Как сообщает AIN.UA, не все остались довольны порядком проведения Bug Bounty. Среди причин — Bugcrowd отбирает хакеров со своей базы. Потому в Bug Bounty не сможет поучаствовать каждый желающий. Также в Украине есть аналоги Bugcrowd, которые стоят дешевле, но не уступают ей в плане качества и комьюнити.
В Hacken Group, куда входит украинская Bug Bounty-платформа HackenProof, утверждают, что министерство первоначально собиралось заказать процедуру у них. По словам СЕО компании Дмитрия Будорина, выбор в пользу HackenProof сделали из-за американских спонсоров.
«Именно так работает американская помощь — они дают деньги, чтобы подсаживать на американские продукты», — считает он.
Замминистра цифровой трансформации Алексей Выскуб заявил, что Bug Bounty «Дії» не планировали проводить с помощью HackenProof. По его мнению, среди украинских Bug Bounty-платформ царит «нездоровая конкуренция».
Что будет дальше
Федоров заявил, что программу Bug Bounty могут продолжить и в следующем году. В рамках второго этапа она будет длиться дольше. Тогда уже любой сможет проверить «Дію» на уязвимости.