В начале февраля Минцифры запустило проект по поиску уязвимостей на «Госуслугах». В течение трёх месяцев более 8,4 тыс. участников багбаунти проверяли защищённость портала и боролись за вознаграждение: подарки с символикой проекта — если найдены небольшие баги, и денежные призы до 1 млн рублей — за критические уязвимости.
В итоге максимальная выплата за найденный баг составила 350 тыс. рублей, минимальная — 10 тыс. рублей. Всего было обнаружено 34 уязвимости, большинство из которых — со средним и низким уровнем критичности.
Кто участвовал
Проект привлёк более 8,4 тыс. белых хакеров со всей страны. Средний возраст багхантеров составил 28 лет, минимальный — 17, а максимальный — 55 лет.
Как проходило багбаунти
Работа исследователей помогла улучшить систему безопасности «Госуслуг», но при этом доступа к внутренним данным у багхантеров не было. Участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга, чтобы их нельзя было использовать для взлома. Тестирование проходило на платформах BI.ZОNE Bug Bounty и Standoff 365. Спонсором проекта выступил Ростелеком, РТК-Солар является оператором информационной защиты портала госуслуг. В будущем планируется и дальше проводить багбаунти «Госуслуг», а также расширить действие программы на другие ведомства.
Что говорят организаторы
«Платформа "Госуслуги", объединившая более 100 млн пользователей, — уникальный ресурс, которому трудно подобрать аналоги в мире. Это настоящий магнит для хакеров. В течение всего прошлого года и до сегодняшнего времени его надёжность проверяется в боевых условиях глобального киберпротивостояния. Мы понимаем, что в эпоху тотальной цифровизации невозможно гарантировать безупречную цифровую безопасность, а значит, особенно важно быть на шаг впереди киберпреступников. РТК-Солар, как оператор безопасности для "Госуслуг", выстоял под натиском исследователей. Мы благодарны всем, кто принял участие в багбаунти и помог сделать систему федерального значения ещё устойчивее. Программа ещё раз доказала высокий уровень защиты платформы — ни один участник не смог найти действительно серьёзной уязвимости. Мы уже реализуем изменения по итогам прошедших испытаний и надеемся, что подобные проекты станут отличной практикой в будущем», — рассказывает Игорь Ляпунов, старший вице-президент по информационной безопасности ПАО «Ростелеком», генеральный директор «РТК-Солар».
«Готовность госучреждений публично проверять безопасность своих сервисов — важный шаг в построении по-настоящему надёжных и эффективных систем информационной безопасности. Надеемся, что Минцифры станет примером для других организаций и вскоре ещё больше компаний станут приходить на багбаунти в публичном или закрытом формате и проверять безопасность усилиями нескольких тысяч наших ИБ-исследователей», — говорит Анатолий Иванов, руководитель направления багбаунти Standoff 365.
«Разместив программу на нашей платформе, министерство показало готовность и зрелость госструктур для багбаунти. За это короткое время ведомство уже смогло проверить многие ресурсы и повысить их защищённость. Что касается независимых исследователей, они были рады и очень заинтересованы в возможности проверить на прочность сервисы государственного масштаба, при этом получив за это внушительное вознаграждение», — рассказывает Евгений Волошин, директор департамента анализа защищённости и противодействия мошенничеству, директор по стратегии BI.ZОNE.