Сьогодні в системі онлайн-торгів Prozorro розпочався марафон з пошуку вразливостей захищеності інформаційної безпеки Bug Bounty. Прозорро запрошує усіх охочих «білих» хакерів взяти участь у програмі, щоб отримати не лише цікавий досвід, а й цінні заохочувальні призи.
У світі та зокрема Україні досі поширена практика злому державних ІТ-систем з подальшою публікацією чи продажем конфіденційних даних з державних та приватних реєстрів. Саме тому адміністратори сервісу жорстко слідкують за абсолютною захищеністю даних учасників закупівель, які вирішили зареєструватись в Прозоро. До того ж, у зв’язку зі змінами в Законі «Про публічні закупівлі», нещодавно система була оптимізована та перенесена на інші технології. Зараз її необхідно заново протестувати, і саме «білі» хакери найкращим чином допоможуть у цьому завданні.
Що таке білий хакінг?
Білий або етичний хакінг — це процес тестування безпеки комп’ютерної системи за домовленістю з власником цієї системи. На відміну від чорного хакінгу, він є законним та здійснюється з метою не викрасти дані, а допомогти усунути недоліки в інформаційній захищеності.
Сьогодні білий хакінг вважається одним з найбільш ефективних методів пошуку вразливостей у кібербезпеці ІТ-систем. Його послугами давно користуються такі світові корпорації як Microsoft, Facebook, Google, Twitter та інші.
Досвід Prozorro
Рік тому Prozorro стала однією з перших державних компаній, яка вирішила вдатися до допомоги хакерів, щоб перевірити стабільність своєї системи. Результати марафону підтвердили надійність захисту інформації: хакери Bug Bounty-2019 не змогли знайти вразливості ні в аукціонному модулі, ні в центральній базі даних. Окрім того, вдалося виявити декілька помилок та недоліків інтерфейсу, після виправлення яких сервіс Прозорро став зручнішим та інтуїтивно зрозумілішим для користувачів.
Правила участі в Bug Bounty Prozorro
Починаючи відсьогодні програма Bug Bounty буде діяти на постійній основі. Дослідження відбуватимуться всередині тестового середовища, тому не будуть заважати організації державних тендерів. Учасники отримають доступ, усі необхідні інструменти та необмежений час для проведення якісних тестувань.
Взяти участь у заході та допомогти державному сервісу вдосконалитися можуть як окремі фахівці, так і цілі IT-компанії. Для цього нікому з них не потрібна попередня реєстрація. Достатньо надіслати свій звіт про виконану роботу та знайдені недоліки за вказаною поштовою адресою.
Усі отримані звіти будуть проаналізовані та відсортовані за рейтингом. Згідно з ним ті учасники, що знайшли найбільше вразливих місць та помилок, будуть нагороджені цінними призами від партнерів програми — електронних торговельних майданчиків SmartTender, Zakupki.Prom.UA та E-Tender. Детальніше про умови заходу та призи читайте на офіційному вебсайті Bug Bounty.