Минцифры заплатит миллион гривен хакерам, которые взломают “Дию”

Министерство цифровой трансформации потратит 1 миллион гривен на призовой фонд для хакеров, которые взломают государственное приложение “Дия”. Баг баунти (конкурс по взлому сайтов или приложений за вознаграждение) продлится с 8 по 15 декабря.

Об этом сообщает пресс-служба ведомства.

“Сегодня в “Дие” уже более 6 миллионов украинцев. Мы тратим 80% нашего времени для того, чтобы “Дия” была безопасна. На сегодня это наиболее защищенный продукт, который создавался за последние годы. Команда Минцифры получила аттестат КСЗИ на “Дию” 2.0. Это самая высокая оценка качества с точки зрения безопасности ИТ-продуктов в нашей стране. Мы также прошли два пентеста на выявление уязвимостей. Теперь мы делаем следующий важный шаг – запускаем процесс багбаунти. Это возможность протестировать лучшим белым хакерам уязвимость приложения “Дия”, – заявил глава Минцифры Михаил Федоров.

В течение недели с 8 по 15 декабря белые хакеры со всего мира смогут взламывать копию “Дии” и искать уязвимости. Призовой фонд – 1 миллион гривен. Если хакер находит уязвимость (баг) – он получает вознаграждение.

Вознаграждение будет разделено по нескольким категориям сложности уязвимости: первый уровень сложности – до $3 500 (почти 100 тысяч гривен), второй – до $1 200 (34 тысячи гривен), третий – до $600 (17 тысяч гривен), четвертый – до $250 (7 тысяч гривен).

Информацию о найденных уязвимостях проанализируют специалисты международной компании Bugcrowd и “Дии”. В случае ее подтверждения будет выплачено вознаграждение.

“Благодаря баг баунти у разработчиков “Дии” возможность выявить в 7 раз больше уязвимостей для улучшения сервиса. Это очень распространенная практика для международных компаний. Для баг баунти команда Минцифры создала условную копию “Дии” – тестовую среду, где нет никаких персональных данных украинцев. Важно отметить, что “Дия” не сохраняет персональные данные. По сути, приложение является транзитным путем, платформой, которая отражает то, что уже есть о человеке в реестрах.

Реализация инициативы проходит при поддержке агентства по международному развитию США (USAID).