Prozorro будет платить «белым» хакерам за найденные уязвимости. Сколько можно заработать?

Программа поиска уязвимостей Prozorro Bug Bounty, которую электронная система закупок Prozorro запустила в июне этого года, переходит на денежную систему вознаграждений для багхантеров.

Об этом сообщила пресс-служба Prozorro.

Так, за каждую найденную в Prozorro уязвимость высокого уровня (У1) хакеры будут получать 2800 грн, за У2 — 1400 грн, за У3 — 840 грн. Уязвимости самых низких уровней — У4 и У5 — не будут вознаграждаться.

Кроме того, каждый багхантер будет получать баллы за найденные уязвимости. Их рейтинг будут обновлять каждый месяц, его можно посмотреть здесь.

Что такое Bug Bounty и зачем это Prozorro?

«Белый» хакинг признан одним из самых популярных и действенных способов поиска уязвимостей в ІТ-системах. «Монстры» IT-бизнеса (такие, как Google, Facebook, Amazon и т.д.), активно пользуются такими услугами.

В то же время это не свойственно государственным структурам, особенно в Украине. Однако в 2019 году официальная площадка электронной системы публичных закупок Prozorro реализовала пилотный проект Bug Bounty на уровне центральной базы данных. Фактически они стали одним из первых государственных предприятий, которые это сделали.

В 2020 году они запустили программу поиска уязвимостей Bug Bounty на постоянной основе для всей IТ-системы. Эта программа, мол, помогает системе Prozorro делать защиту данных более устойчивой к кибератакам.

И как оно?

В первые три месяца существования проекта семь багхантеров нашли 61 уязвимость, 49 из них оказались не критического уровня.

Хакера с никнеймом Jarvis, который нашел наибольшее количество уязвимостей, наградили квадрокоптером. Остальные участники получили поощрительные призы — фирменные жесткие диски, футболки, свитшоты, фирменные антисептики и маски.