El Ministerio de Desarrollo Digital ha publicado los resultados provisionales de la segunda fase del programa ruso de recompensas por errores. En el programa, que ofrece una recompensa de hasta un millón de rublos por detectar errores relacionados con exploits y vulnerabilidades, ya participan 16 mil "hackers blancos".
Durante varios meses, han estado buscando vulnerabilidades en "Gosuslugi", SMEV, la plataforma de retroalimentación y otros sistemas gubernamentales. Al mismo tiempo, solo se verifica el perímetro externo de los sistemas: los cazadores de errores no tienen acceso a los datos internos, y las vulnerabilidades ya encontradas no se pueden reutilizar para hackear.
Se detectaron alrededor de 100 vulnerabilidades en 10 sistemas. La mayoría de ellas tienen un bajo nivel de criticidad. El pago máximo por una vulnerabilidad encontrada fue de 500 mil rublos.
En el futuro, en Rusia, el trabajo de los hackers blancos podría no ser un proyecto, sino permanente. La Duma Estatal está discutiendo dos proyectos de ley relacionados con el trabajo de los "hackers blancos". El primero debería legalizar la participación de dichos especialistas en las pruebas de la infraestructura de TI sin el permiso de los titulares de los derechos, el segundo debería regular el procedimiento para organizar las pruebas.
Actualmente, muchas grandes empresas atraen a "hackers blancos" a través de servicios especializados de forma proyectada. Por ejemplo, el Grupo de Empresas "Astra", el principal desarrollador ruso de sistemas operativos, el año pasado anunció el lanzamiento del programa Bug Bounty para el sistema operativo Astra Linux SE. De las estructuras estatales, los cazadores de errores atraen no solo al Ministerio de Desarrollo Digital para probar las vulnerabilidades del gobierno electrónico, sino también a "Correos de Rusia".
Leer materiales sobre el tema:
Apareció un nuevo tipo de ciberespionaje contra empresas rusas
