Програма Bug Bounty з пошуку вразливостей кібербезпеки була запущена в екосистемі державних закупівель 1 червня. Наразі представники Prozorro проаналізували результати першого місяця та підготували звіт. Відповідно до нього за перший місяць роботи програми «білі» хакери (IT-фахівці в області кібербезпеки) знайшли 53 недоліки у захисті сервісу.
Детальніше про те, як проходить Bug Bounty в Prozorro
Пошук відбувається не лише в самому сервісі, а й на трьох найбільших електронних майданчиках, що також долучилися до участі у програмі: SmartTender, Zakupki.Prom.UA та E-Tender.
Дослідження проходять всередині тестового, препродуктивного, середовища, яке практично повністю аналогічне продуктивній частині системи. Це дозволяє хакерам повноцінно проводити свої тестування, не перешкоджаючи роботі користувачів, задіяним у закупівлях.
Як повідомляє пресслужба, на сьогодні 7 учасників вирішили зареєструватись в Прозоро Bug Bounty і шестеро з них виявили вразливості. Найбільша кількість недоліків знайдена на рівнях помірної (P3) та низької критичності (P4).
Представники Prozorro вдячні усім, хто вже долучився до пошуків, та, як і обіцяли, склали рейтинг хакерів за кількістю та критичністю знайдених вразливостей. Наразі лідером цього рейтингу є баг-хантер Вадим Шовкун (Jarvis) — він отримав у подарунок квадракоптер. Інших учасників Bug Bounty нагородили заохочувальними призами.
Про минулий досвід та очікування Prozorro
Нагадаємо, що запуск цьогорічної програми є вже другим для системи державних закупівель. Вперше Bug Bounty була проведена у форматі марафону восени 2019 року. Завдяки їй вдалося знешкодити потенційні вектори атак та виправити недоліки в інтерфейсі, зробивши його більш дружнім для користувачів.
З 1 червня 2020 року програма пошуку вразливостей в екосистемі держзакупівель буде працювати вже на постійній основі. Очікується, що це допоможе виявити дрібні та серйозні недоліки в кібербезпеці як самого сервісу Прозорро, так і всіх електронних майданчиків, що з ним співпрацюють (наразі до програми долучилися три майданчики з тринадцяти).
Як взяти участь у Bug Bounty Prozorro
Кожен охочий спробувати себе в якості «білого» хакера може дослідити тестове середовище сервісу без попередньої реєстрації. За результатами дослідження достатньо підготувати звіт зі знайденими вразливостями та надіслати його за вказаною поштовою адресою. Вся детальна інформація про умови доступна на сайті Bug Bounty.
