Вже 8 грудня Міністерство цифрової трансформації запускає багбаунті Дії з призовим фондом ₴ 1 млн ($ 35 тис.) для «білих» хакерів з усього світу для пошуку уразливостей і багів у копії застосунку Дія. Про це повідомив Віцепрем’єр-міністр — Міністр цифрової трансформації Михайло Федоров під час брифінгу.
- Мобільний застосунок «Вдома» для контролю самоізоляції отримав нові функції
- Українці можуть пред’являти в банках електронні паспорти з додатка «Дія»
- Держспецзв’язку покращить кібербезпеку веб-порталу та додатка «Дія»
«Сьогодні в Дії вже понад 6 мільйонів українців. Ми витрачаємо 80% нашого часу для того, щоб Дія була безпечна. На сьогодні це найбільш захищений продукт, який створювався за останні роки. Команда Мінцифри отримала атестат КСЗІ на Дію 2.0. Це найвища оцінка якості з точки зору безпеки ІТ-продуктів у нашій країні. Ми також пройшли два пентести на виявлення уразливостей. Тепер ми робимо наступний важливий крок — запускаємо процес багбаунті. Це можливість протестувати найкращим «білим» хакерам уразливість застосунку Дія».
Михайло Федоров
Протягом тижня з 8 до 15 грудня «білі» хакери з усього світу зможуть ламати копію Дії і шукати уразливості. Якщо хакер знаходить уразливість — отримує винагороду. Винагорода буде поділена за кількома категоріями складності уразливості:
- перший рівень складності — до $ 3 500;
- другий — до $ 1 200;
- третій — до $ 600;
- четвертий — до $ 250.
Багбаунті Дії буде проведено на платформі Bugcrowd. Це міжнародна компанія, що спеціалізується на кібербезпеці і проведенні багбаунті. Інформацію про знайдені вразливості проаналізують спеціалісти Bugcrowd та Дії. У разі її підтвердження буде виплачено винагороду. Завдяки багбаунті у розробників є можливість виявити у 7 разів більше уразливостей для покращення сервісу.
Для багбаунті команда Мінцифри створила умовну копію Дії — тестове середовище, де немає персональних даних українців. Важливо зазначити, що Дія не зберігає персональні дані. Застосунок є транзитним шляхом, платформою, яка відображає те, що вже є про людину в реєстрах. Реалізація програми відбувається за підтримки міжнародної платформи Bugcrowd та агентства з міжнародного розвитку США (USAID).