8 тысяч белых хакеров нашли 34 уязвимости на Госуслугах



alttext

Госуслуги

В начале февраля Минцифры запустило проект по поиску уязвимостей на Госуслугах. В течение трех месяцев более 8,4 тыс. участников багбаунти проверяли защищенность портала и боролись за вознаграждение: подарки с символикой проекта – если найдены небольшие баги, и денежные призы до 1 млн рублей – за критические уязвимости.

Как рассказали в Минцифры, в итоге максимальная выплата за найденный баг составила 350 тыс. рублей, минимальная – 10 тыс. рублей. Всего было обнаружено 34 уязвимости, большинство из которых – со средним и низким уровнем критичности.

Всего в проекте по поиску уязвимостей участвовало 8,4 тыс. белых хакеров со всей страны. Средний возраст багхантеров составил 28 лет, минимальный – 17, а максимальный – 55 лет.

В Минцифры особо отметили, что доступа к внутренним данным у багхантеров не было. Участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга, чтобы их нельзя было использовать для взлома. Тестирование проходило на платформах BI.ZОNE Bug Bounty и Standoff 365. Спонсором проекта выступил Ростелеком, РТК-Солар является оператором информационной защиты портала Госуслуг. В будущем планируется и дальше проводить багбаунти Госуслуг, а также расширить действие программы на другие ведомства.

“Платформа “Госуслуг”, объединившая более 100 млн пользователей, – уникальный ресурс, которому трудно подобрать аналоги в мире. Это настоящий магнит для хакеров. Мы понимаем, что в эпоху тотальной цифровизации невозможно гарантировать безупречную цифровую безопасность, а значит, особенно важно быть на шаг впереди киберпреступников. Программа еще раз доказала высокий уровень защиты платформы – ни один участник не смог найти действительно серьезной уязвимости”, – рассказал Игорь Ляпунов, старший вице-президент по информационной безопасности ПАО “Ростелеком”, генеральный директор “РТК-Солар”.

“Надеемся, что Минцифры станет примером для других организаций и вскоре еще больше компаний станут приходить на багбаунти в публичном или закрытом формате и проверять безопасность усилиями нескольких тысяч наших ИБ-исследователей”, – отметил Анатолий Иванов, руководитель направления багбаунти Standoff 365.

“Разместив программу на нашей платформе, министерство показало готовность и зрелость госструктур для багбаунти. Независимые исследователи, в свою очередь, были рады и очень заинтересованы в возможности проверить на прочность сервисы государственного масштаба, при этом получив за это внушительное вознаграждение”, – рассказывает Евгений Волошин, директор департамента анализа защищённости и противодействия мошенничеству, директор по стратегии BI.ZОNE.

Олег Капранов, Российская газета