За обнаруженный баг можно получить до 1 млн рублей
Минцифры запустило проект по поиску уязвимостей в Госуслугах и других ресурсах электронного правительства — нашедшим критические уязвимости обещают выплатить вознаграждение в размере до 1 млн рублей. Об этом говорится в telegram-канале ведомства.
Тестирование доступно на платформах BI.ZONE и Positive Technologies. Вознаграждение зависит от степени уязвимости — за низкую вручат подарки, за среднюю — до 50 тысяч рублей, а за высокую — от 50 тысяч до 200 тысяч рублей. Всего призовой фонд составляет 10 млн рублей, спонсором программы стал «Ростелеком».
В программе смогут участвовать граждане России, для этого необходимо зарегистрироваться на одной из двух платформ. Программа пройдет в несколько этапов — первый будет идти три месяца, за время него исследователи проверят Госуслуги, а еще Единую систему идентификации и аутентификации. На следующих этапах ведомство расширит список сайтов и обновит условия программы.
Минцифры анонсировало программу еще в октябре прошлого года, но не сообщало подробности. За 2022 год хакеры совершили не менее 400 атак на госучреждения, следует из данных Positive Technologies. Это на 25% больше, чем годом ранее.
«Яндекс» тоже платит за найденные уязвимости
В 2023-м компания вдвое увеличила сумму наград за обнаруженные ошибки в сервисах и инфраструктуре компании — теперь можно получить до 1,5 млн рублей. «Также по некоторым направлениям будут проходить акции, сумма вознаграждения в которых станет в 10 раз выше, чем обычно», — пообещали в пресс-службе. При этом количество победителей не ограничено.
Такие программы называются «багбаунти» (bug bounty), организации уже давно пользуются ими, чтобы исправить уязвимости в своих продуктах. Представитель одной из IT-компаний ранее рассказал на «Хабре», что за год работы программы удалось найти 18 уязвимостей. «На саму программу мы потратили около 2 млн рублей, а сохранили в десятки, а то и сотни раз больше», — утверждается в его сообщении.