8 тысяч белых хакеров нашли 34 уязвимости на Госуслугах
В начале февраля Минцифры запустило проект по поиску уязвимостей на Госуслугах. В течение трех месяцев более 8,4 тыс. участников багбаунти проверяли защищенность портала и боролись за вознаграждение: подарки с символикой проекта - если найдены небольшие баги, и денежные призы до 1 млн рублей - за критические уязвимости.
Как рассказали в Минцифры, в итоге максимальная выплата за найденный баг составила 350 тыс. рублей, минимальная - 10 тыс. рублей. Всего было обнаружено 34 уязвимости, большинство из которых - со средним и низким уровнем критичности.
Всего в проекте по поиску уязвимостей участвовало 8,4 тыс. белых хакеров со всей страны. Средний возраст багхантеров составил 28 лет, минимальный - 17, а максимальный - 55 лет.
В Минцифры особо отметили, что доступа к внутренним данным у багхантеров не было. Участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга, чтобы их нельзя было использовать для взлома. Тестирование проходило на платформах BI.ZОNE Bug Bounty и Standoff 365. Спонсором проекта выступил Ростелеком, РТК-Солар является оператором информационной защиты портала Госуслуг. В будущем планируется и дальше проводить багбаунти Госуслуг, а также расширить действие программы на другие ведомства.
"Платформа "Госуслуг", объединившая более 100 млн пользователей, - уникальный ресурс, которому трудно подобрать аналоги в мире. Это настоящий магнит для хакеров. Мы понимаем, что в эпоху тотальной цифровизации невозможно гарантировать безупречную цифровую безопасность, а значит, особенно важно быть на шаг впереди киберпреступников. Программа еще раз доказала высокий уровень защиты платформы - ни один участник не смог найти действительно серьезной уязвимости", - рассказал Игорь Ляпунов, старший вице-президент по информационной безопасности ПАО "Ростелеком", генеральный директор "РТК-Солар".
"Надеемся, что Минцифры станет примером для других организаций и вскоре еще больше компаний станут приходить на багбаунти в публичном или закрытом формате и проверять безопасность усилиями нескольких тысяч наших ИБ-исследователей", - отметил Анатолий Иванов, руководитель направления багбаунти Standoff 365.
"Разместив программу на нашей платформе, министерство показало готовность и зрелость госструктур для багбаунти. Независимые исследователи, в свою очередь, были рады и очень заинтересованы в возможности проверить на прочность сервисы государственного масштаба, при этом получив за это внушительное вознаграждение", - рассказывает Евгений Волошин, директор департамента анализа защищённости и противодействия мошенничеству, директор по стратегии BI.ZОNE.