«Госуслуги» проверят на прочность. Кто такие багхантеры и что они делают
. Минцифры предложило хакерам испытать сайтМинцифры предложило багхантерам найти уязвимости на «Госуслугах»: кто они такие
Багхантинг (bug hunting) — это процесс поиска уязвимостей, дословно его можно трактовать как «охота на баги», с. Соответственно, багхантеры — это охотники за уязвимостями, или белые хакеры, как их еще называют. Это независимые исследователи, которые сознательно и спонтанно обнаруживают недочеты в работе систем и ставят в известность об этом разработчиков за вознаграждение.
Таких багхантеров сейчас решили привлечь к поиску уязвимостей на «Госуслугах» и других ресурсах электронного правительства. О запуске проекта баг-баунти сообщается в официальном телеграм-канале Минцифры.
Что именно предлагают сделать багхантерам
Задача проекта баг-баунти — найти баги и передать в Минцифры. Логику и пути взлома проконтролируют кураторы проекта. Сам проект пройдет в несколько этапов. На первом в течение трех месяцев независимые исследователи проверят портал «Госуслуг» и Единую систему идентификации и аутентификации (ЕСИА). На следующих этапах список ресурсов будет расширен.
Баг-баунти — это публичная программа поиска уязвимостей за вознаграждение. Она позволяет привлечь независимых исследователей и сделать систему еще более безопасной. В 2022 году количество попыток взлома государственных ресурсов выросло на 80% по сравнению с 2021 годом. Минцифры предлагает багхантерам присоединиться к программе, чтобы отработать новые сценарии взлома и найти максимум уязвимостей в защите.
Как отблагодарят удачливых багхантеров
Призовой фонд проекта составляет 10 млн руб. За успешную работу особо удачливые багхантеры могут получить единолично до 1 млн руб. Как поясняется, вознаграждение зависит от степени обнаруженной уязвимости:
- низкая — подарки с символикой проекта;
- средняя — до 50 тыс. руб.;
- высокая — от 50 до 200 тыс. руб.;
- критическая — до 1 млн руб.
Кто может принять участие в баг-баунти от Минцифры
Принять участие в поиске уязвимостей на ресурсах электронного правительства может любой гражданин России, зарегистрированный на платформах BI.ZONE Bug Bounty или Standoff 365 Bug Bounty. Причем проявить себя могут даже багхантеры в возрасте от 14 лет. Но с письменного согласия родителей.
BI.ZONE Bug Bounty и Standoff 365 Bug Bounty – это платформы, на которых заказчики (бизнес, организации) размещают цифровые продукты, в которых багхантерам предлагается найти слабые места (баги).
Примечательно: ранее в Минцифры сообщили, что планируют в перспективе усложнить вход на портал и подключить двухфакторную аутентификацию. Это означает, что для входа в личный кабинет пользователям нужно будет ввести не только логин и пароль, но и код, который будет высылаться по СМС. Сейчас двухфакторная аутентификация также доступна пользователям. Для того чтобы она заработала, ее нужно самостоятельно активировать в своем профиле. Ее повсеместное внедрение в Минцифры объяснили борьбой с мошенничеством.
Пример багхантинга: белый хакер Дэвид Шютц в 2022 году нашел в смартфонах Google Pixel критическую уязвимость, связанную с блокировкой. Хакер записал видео с процессом взлома гаджета от Google и выложил его на своем YouTube-канале. Но сделал он это лишь после того, как получил от компании Google вознаграждение за найденную ошибку безопасности в размере $70 тыс., а сам производитель в своем ноябрьском отчете об обновлении для Android сообщил, что уязвимость устранена.
