Prozorro розпочинає нову хвилю боротьби з помилками в системі. Програма пошуку вразливостей Prozorro Bug Bounty змінює формат та переходить на грошову винагороду для багхантерів.

Prozorro Bug Bounty. Що це таке?

У 2020 році Prozorro вирішили запустити програму пошуку вразливостей Bug Bounty. Це програма заохочення «білих капелюхів» — хакерів, який спеціалізується на тестах та перевірках інформаційних систем. Це один з найдієвіших способів віднайдення вразливостей в ІТ-системах.

Як це працює?

Багхантерам надається pre-production environment — тестове середовище з копією, наприклад, центральної бази даних, офіційного порталу, кабінету АМКУ, Держаудислужби тощо. У цих тестових середовищах спеціалісти знаходили помилки, повідомляли про них та отримували заохочення.

У перші три місяці існування проєкту сім багхантерів знайшли 61 вразливість, з них 49 вразливостей — не критичного рівня. Багхантер Jarvis знайшов найбільше вразливостей та був нагороджений квадрокоптером DJI Mavic Air 2 Fly More Combo. Інші учасники отримали заохочувальні призи –– фірмові жорсткі диски, футболки, світшоти, фірмові антисептики та маски.

Що змінюється?

Тепер Prozorro Bug Bounty переходить на грошову винагороду. З 17 вересня за програмою багхантери отримуватимуть від 2,8 тисячі до 840 грн за кожну вразливість рівня Р1-Р3. Вразливості найнижчого рівня – Р4 та Р5 не нагороджуватимуться.

Також змінилась форма самого проєкту. Раніше у програмі брали участь тільки ДП «Прозорро» та електронні майданчики, підключені до системи закупівель. Тепер до проєкту долучилася громадська організація «РЕСКІЛЛ», яка займатиметься координацією та виплатами винагород.