Про компанію

vacancy_header

(044) 200-93-39
ua
rectangle
Вхід/Реєстрація

“Білі” Хакери намагалися зламати систему державних закупівель ProZorro

2019-10-03 17:24:09


За підтримки De Novo, 21 вересня 2019 року, пройшов bug bounty проект Hack ProZorro. В рамках якого, так звані етичні хакери шукали вразливості в системі державних закупівель ProZorro. 

Баг-баунти програма - це процес, в якому компанія залучає сторонніх фахівців з кібербезпеки ("білі хакери" або "рісерчери") для тестування свого програмного забезпечення на уразливості за монетарну винагороду. За кожну знайдену уразливість (баг) рісерчер отримує винагороду (баунті).

Компанія публічно оголошує Скоуп (від англ. "Scope" - "обсяг") робіт, рівень винагороди за уразливості і будь-який бажаючий може зареєструватися і брати участь в баг-баунти програмі.

Проекти баг баунті почали здобувати великої популярності з 2011 року. Серед великих компаній які першими спробувалі шукати свої вразливості були Facebook, Google, Yahoo, Microsoft, Mozilla, Reddit.

З плином часу bug bounty почали використовувати державні підприємства передових технологічних країн. В 2016 році свою программу оголосило Міністерство Оборони США з гучною назвою “Зламати Пентагон”. За весь час проекту міністерство виплатило етичним хакерам понад $330,000 за 300 виявлених вразливостей. 

В ЄС доcвід проведення bug bounty в державному секторі лише зароджується.  У Великобританії минулоріч білі хакери перевірили урядові веб-сайті. В Гаазі цього року bug bounty проведе міська рада. В Швейцарії в цьому році білі хакери перевірили національну систему електронного голосування. В Сінгапурі лише другий рік як діє bug bounty програма. 

В Україні першим державним підприємством яке тестували хакери, стала система державних закупівель ProZorro. Призовий фонд івенту склав $7,000 та грант $10,000 на сертифікацію в навчальному центрі Softprom by ERC. Хакерів відбирали на відкритому конкурсі. До участі запрошувалися українці з відповідним досвідом у кібербезпеці та баг-хантингу.

“Ми давно хотіли провести івент такого формату, коли ми будемо сплачувати фахівцям з кібер-безпеки за знайдені вразливості нашої системи. В цьому році безпеку стала наша пріоритетним напрямком. Велика подяка партнерам, які підтримали нас у цьому проекті. Окрема подяка De Novo, які завжди йдуть нам на зустріч і з якими ми разом розвиваємо ІТ напрямок в Україні” - підкреслив Євген Єнтіс, директор ІТ відділу ProZorro.

Марафон пошуку багів відбувався протягом 7 годин. За цей час хакери знайшли 16 унікальних вразливостей, серед яких 3 були критичними. Жодної вразливості у центральній базі даних про закупівлі та модулю аукціонів хакери не виявили. Все тестування відбувалося на тестовій системі. 

“Це подія високого рівня, коли державна компанія проводить такі івенти, як Hack ProZorro. Ми раді підтримати нові проекти, які сприяють розвитку цифрової трансформації нашої держави” - зауважив Дмитро Бахмацький, директор із маркетингу De Novo.

Участь у bug bounty марафоні Prozorro взяли 12 хакерів з українським громадянcтвом з областей України та із-за кордону. Наймолодшому учаснику було лише 15 років, але він вже має досвід участі у bug bounty Google, SoundCloud та ще низки компаній.