«Госуслуги», ЕСИА и другие российские цифровые системы атакуют белые хакеры

Благодаря им уже обнаружили более девяноста уязвимостей

Минцифры рассказало о том, как работает с багхантерами. Эти белые хакеры ищут уязвимости в информационных системах электронного правительства. На этом занятии можно заработать от пяти тысяч рублей до миллиона рублей в зависимости от критичности найденной уязвимости.

Министерскую багбаунти — программу, по которой можно получить вознаграждение за обнаружение ошибок, связанных с эксплойтами и уязвимостями, — проводят уже на втором этапе.

Первый этап проходил с февраля по май 2023 года. Тогда более восьми тысяч человек проверяли на прочность «Госуслуги» и Единую систему идентификации и аутентификации — было найдено 37 багов.

Второй этап идет сейчас, участников стало больше. За три месяца работы программы выявили 62 уязвимости, большинство из которых Минцифры классифицирует как «некритичные». Багхантеры атакуют уже десять государственных цифровых систем:

Как стать багхантером

В Минцифры отмечают, что стать багхантером может практически любой человек. Для этого нужно зарегистрироваться на специальных платформах BI.ZОNE Bug Bounty или Standoff 365 Bug Bounty, ознакомиться и согласиться с условиями программы.

Затем нужно найти уязвимость, отправить информацию об уязвимости через платформу и дождаться подтверждения уязвимости от Минцифры. После этого можно будет получить вознаграждение.

Кроме Минцифры, впрочем, услугами багхантеров через специализированные сервисы пользуются многие крупные компании. Так, например, ГК «Астра», ведущий российский разработчик операционных систем, в прошлом году объявляла о запуске программы Bug Bounty для ОС Astra Linux SE. Привлекать хакеров в белых шляпах решено было на платформе BI.ZONE Bug Bounty.