El Ministerio de Desarrollo Digital ha contado cómo trabaja con los "bug hunters". Estos hackers blancos buscan vulnerabilidades en los sistemas de información del gobierno electrónico. Esta actividad puede generar ingresos desde cinco mil rublos hasta un millón de rublos, dependiendo de la criticidad de la vulnerabilidad encontrada.
La "bug bounty" ministerial, un programa en el que se puede recibir una recompensa por descubrir errores relacionados con exploits y vulnerabilidades, ya se está llevando a cabo en su segunda etapa.
La primera etapa se desarrolló de febrero a mayo de 2023. Entonces, más de ocho mil personas pusieron a prueba "Gosuslugi" y el Sistema Unificado de Identificación y Autenticación, encontrándose 37 "bugs".
La segunda etapa está en curso y el número de participantes ha aumentado. En tres meses de funcionamiento del programa, se han identificado 62 vulnerabilidades, la mayoría de las cuales el Ministerio de Desarrollo Digital clasifica como "no críticas". Los "bug hunters" ya están atacando diez sistemas digitales estatales:
- «Gosuslugi»;
- Sistema Unificado de Identificación y Autenticación;
- Sistema Unificado de Datos Biométricos;
- Plataforma de retroalimentación;
- Sistema de Interacción Electrónica Interdepartamental;
- Sistema Nacional de Gestión de Datos;
- Sistema Unificado de Información para la Gestión del Personal del Servicio Civil Estatal;
- Centro de Certificación Principal;
- Sistema Unificado de Información de Referencia Normativa;
- Gosweb.
¿Cómo convertirse en "bug hunter"?
El Ministerio de Desarrollo Digital señala que prácticamente cualquier persona puede convertirse en "bug hunter". Para ello, es necesario registrarse en las plataformas especiales BI.ZОNE Bug Bounty o Standoff 365 Bug Bounty, leer y aceptar los términos del programa.
Luego, es necesario encontrar una vulnerabilidad, enviar información sobre la vulnerabilidad a través de la plataforma y esperar la confirmación de la vulnerabilidad por parte del Ministerio de Desarrollo Digital. Después de eso, se podrá recibir una recompensa.
Además del Ministerio de Desarrollo Digital, muchas grandes empresas utilizan los servicios de "bug hunters" a través de servicios especializados. Por ejemplo, el Grupo "Astra", el principal desarrollador ruso de sistemas operativos, el año pasado anunció el lanzamiento del programa Bug Bounty para el SO Astra Linux SE. Se decidió atraer a hackers de sombrero blanco en la plataforma BI.ZONE Bug Bounty.
