«Госуслуги», ЕСИА и другие российские цифровые системы атакуют белые хакеры

Минцифры рассказало о том, как работает с багхантерами. Эти белые хакеры ищут уязвимости в информационных системах электронного правительства. На этом занятии можно заработать от пяти тысяч рублей до миллиона рублей в зависимости от критичности найденной уязвимости.

Министерскую багбаунти — программу, по которой можно получить вознаграждение за обнаружение ошибок, связанных с эксплойтами и уязвимостями, — проводят уже на втором этапе.

Первый этап проходил с февраля по май 2023 года. Тогда более восьми тысяч человек проверяли на прочность «Госуслуги» и Единую систему идентификации и аутентификации — было найдено 37 багов.

Второй этап идет сейчас, участников стало больше. За три месяца работы программы выявили 62 уязвимости, большинство из которых Минцифры классифицирует как «некритичные». Багхантеры атакуют уже десять государственных цифровых систем:

• «Госуслуги»;
• Единую систему идентификации и аутентификации;
• Единую биометрическую систему;
• Платформу обратной связи;
• Систему межведомственного электронного взаимодействия;
• Национальную систему управления данными;
• Единую информационную систему управления кадровым составом государственной гражданской службы;
• Головной удостоверяющий центр;
• Единую систему нормативной справочной информации;
• Госвеб.

Как стать багхантером

В Минцифры отмечают, что стать багхантером может практически любой человек. Для этого нужно зарегистрироваться на специальных платформах BI.ZОNE Bug Bounty или Standoff 365 Bug Bounty, ознакомиться и согласиться с условиями программы.

Затем нужно найти уязвимость, отправить информацию об уязвимости через платформу и дождаться подтверждения уязвимости от Минцифры. После этого можно будет получить вознаграждение.

Кроме Минцифры, впрочем, услугами багхантеров через специализированные сервисы пользуются многие крупные компании. Так, например, ГК «Астра», ведущий российский разработчик операционных систем, в прошлом году объявляла о запуске программы Bug Bounty для ОС Astra Linux SE. Привлекать хакеров в белых шляпах решено было на платформе BI.ZONE Bug Bounty.

27 апр 16:55 Новости

Не окупается, но придётся: операторов «большой четвёрки» отправляют строить сеть в сёлах Требования касаются МТС, МегаФона, «Вымпелкома» и Т2

27 апр 11:36 Новости

Хотят сделать из вас дроппера: как мошенники используют схему «обратного перевода» денег Эксперт «Мошеловки»: Жертву втягивают в преступную цепочку по обналичиванию похищенных средств

27 апр 09:21 Новости

Российские банки просят Минцифры отложить закон об ИИ В АБР предлагают сдвинуть введение новых правил как минимум до 2028 года

26 апр 12:39 Новости

Мобильная связь есть, но сайты не открываются: операторы начали подключать «Защиту интернета» Функция может активироваться автоматически без отдельного запроса

25 апр 09:34 Новости

Самокат с подвохом: мошенники клеят поддельные QR-коды на кикшеринг Фальшивые стикеры ведут пользователей на фишинговые страницы оплаты