1

Тема: Ніхто не хоче на "Дії" заробити?

https://codeguida.com/post/3009

Мінцифри розпочала другий етап програми Bug Bounty для застосунку «Дія»: тепер шукати вразливості у застосунку можуть усі охочі. Призовий фонд програми — 1 мільйон гривень (35 000 доларів).


Нагадаємо, під час першого етапу участь могли взяти лише обрані дослідники безпеки на платформі Bugcrowd. У грудні був опублікований звіт з результатами програми: зазначалось, що хакери знайшли дві проблеми низького рівня, а жодних критичних вразливостей у «Дії» не виявлено.

Другий етап теж відбувається на Bugcrowd, але тепер програма відкрита для всіх охочих. Щоб взяти участь, потрібно зареєструватись. Конкурс стартує 27 липня і триватиме пів року — до 27 січня (а не тиждень, як минулого разу). Пріоритетним буде пошук вразливостей у системі «Дія.Підпис».

Винагорода розподілятиметься відповідно до рівня складності вразливості:

перший рівень складності: від 4100 до 4500 $;
другий: від 1500 до 1750 $;
третій: від 600 до 850 $;
четвертий: від 200 до 250 $.
Дослідники зможуть скористатись окремим тестовим середовищем, який повторює застосунок Дія, але не має доступу до зовнішніх систем: наприклад, банківських систем чи держреєстрів (щоправда, в коментарях пишуть, що з тестовим середовищем зараз виникають проблеми).

Програма відбувається за підтримки міжнародної платформи Bugcrowd та проєкту Агентства з міжнародного розвитку США (USAID) «Кібербезпека критично важливої інфраструктури України».

Подякували: Chemist-i1

2

Re: Ніхто не хоче на "Дії" заробити?

Винагорода розподілятиметься відповідно до рівня складності вразливості

Що таке "рівень складності вразливості" ?

Чи існує офіційне оголошення про цей конкурс ? Де можна прочитати умови конкурсу ?

3 Востаннє редагувалося tchort (27.07.2021 19:47:00)

Re: Ніхто не хоче на "Дії" заробити?

Що таке "рівень складності вразливості" ?

Підозрюю що то встановлює їх "експерт". Деякі з них що правда, коли то вигідно, можуть і вихлопну трубу ДВЗ авто до вогнепальної автоматичної зброї прирахувати в документі для судді...а після склянки другої і сам ДВЗ як цілу артилерійську батарею.

Все що мені відомо, - від всіляких "державних замовлень та проектів" потрібно триматися подалі.

Де можна прочитати

Уряд.Портал:
https://www.kmu.gov.ua/events/27-lipnya … zastosunku

Якийсь звіт:
https://thedigital.gov.ua/storage/uploa … 0_DIIA.pdf

Подякували: koala, leofun012

4

Re: Ніхто не хоче на "Дії" заробити?

Хм. А це часом не прикриття для роздачі грошей своїм знайомим, як зазвичай у нас робиться на всіх відкритих заходах для «всіх» охочих?

5 Востаннє редагувалося /KIT\ (27.07.2021 20:24:33)

Re: Ніхто не хоче на "Дії" заробити?

Сам bug bounty: https://bugcrowd.com/diia-og?preview=76 … cfdba9a231

Подякували: leofun011

6 Востаннє редагувалося tchort (27.07.2021 20:31:43)

Re: Ніхто не хоче на "Дії" заробити?

P.Y. написав:

Хм. А це часом не прикриття для роздачі грошей своїм знайомим, як зазвичай у нас робиться на всіх відкритих заходах для «всіх» охочих?

Хтось добре влаштувався, - і backdoor собі мабуть зоставив і грошей підняв як бонус з розробки.

Призовий фонд програми — 1 мільйон гривень (35 000 доларів).

А зарплату, за ці гроші, на пару місяців експерту в infosec дати для розгляду ні? і нічого можна було не рекламувати.

7

Re: Ніхто не хоче на "Дії" заробити?

leofun01 написав:

Винагорода розподілятиметься відповідно до рівня складності вразливості

Що таке "рівень складності вразливості" ?

https://bugcrowd.com/vulnerability-rating-taxonomy

Подякували: tchort, leofun012

8

Re: Ніхто не хоче на "Дії" заробити?

До речі, триває конкурс від Grammarly: Grammarly CTF - $100K bounty
Призовий фонд величенький :)