27 февраля 2023 года волонтеры Министерства транспорта и связи ЧР рассказали о том, что Минцифры российским хакерам предложили проверить «Госуслуги» на прочность.
«Минцифры впервые в 2022 году привлекли независимых специалистов по безопасности к тестированию защищенности ресурсов электронного правительства, в частности, «Госуслуг» и ЕСИА. Багхантеры смогут заработать на каждой выявленной уязвимости до 1 млн руб. Программа запущена на площадках Bi.Zone и Positive Technologies, а проспонсирует ее «Ростелеком», — сообщил волонтер.
Участникам встречи — администраторам официальных сайтов региональных министерств и ведомств ведущий мероприятия рассказал о том, что Минцифры России объявило о запуске собственного проекта по поиску уязвимостей (bug bounty), о том, что этичные («белые») хакеры смогут за вознаграждение оказать ведомству содействие в выявлении технических изъянов ресурсов электронного правительства.
«Программа пройдет в несколько этапов. Сперва ее участники изучат на предмет наличия уязвимостей портал «Госуслуг» и Единую систему идентификации и аутентификации (ЕСИА). Впоследствии перечень ресурсов будет расширен, условия участия претерпят некоторые изменения», — сообщил выступающий.
Волонтер также рассказал о правилах участия в первом этапе программы.
«Участие в программе доступно гражданам России. Минимальный возраст участника варьируется в зависимости от выбранной им платформы – это могут быть Bi.Zone Bug Bounty или Standoff 365 Bug Bounty компании Positive Technologies. Площадка Bi.Zone допускает к участию только совершеннолетних. Standoff 365 готова принять даже подростков в возрасте от 14 лет при наличии письменного согласия со стороны родителей», — рассказал выступающий.
По словам ведущего, работа на платформе позволит определить логику потенциальных хакеров, эта информация будет использована для дополнительной защиты электронного правительства. Желающим помочь обезопасить сервисы электронного правительства в Минцифры предлагают следующий алгоритм действий: для начала зарегистрироваться на выбранной платформе, ознакомиться и согласиться с условиями программы; найти уязвимость, не нарушая правил; отправить информацию об уязвимости через платформу и, наконец, дождаться подтверждения уязвимости от ведомства», — сообщил выступающий