34 уязвимости выявлено на «Госуслугах»: кто выявил пробелы в системе безопасности

Максимальная выплата за найденную ошибку в программе составила 350 тысяч. Почему никто не получил миллион?  

В начале февраля ЧС-ИНФО писал о том, что Минцифры запустило проект по поиску уязвимостей на «Госуслугах». В течение трех месяцев  участники системы безопасности проверяли защищенность портала и боролись за вознаграждение: денежные призы до 1 миллиона рублей за критические ошибки и подарки с символикой проекта за небольшие пробелы в кодах.

В итоге максимальная выплата за найденный баг составила 350 тысяч рублей, минимальная — 10 тысяч рублей. Всего было обнаружено 34 уязвимости, большинство из которых — со средним и низким уровнем критичности.

В проекте, о улучшению системы безопасности «Госуслуг» участвовали более 8,4 тысячи белых хакеров со всей России. Средний возраст которых составил 28 лет, самому молодому было 17, а самый возрастному — 55 лет. Участники работали только на внешнем периметре портала «Госуслуги» и не имели доступа к внутренним данным. Найденные уязвимости полностью контролировались системами мониторинга, чтобы их нельзя было использовать для взлома.

Тестирование проходило на платформах BI.ZОNE Bug Bounty и Standoff 365. Спонсором проекта выступил Ростелеком, РТК-Солар является оператором информационной защиты портала госуслуг. В будущем планируется и дальше проводить багбаунти «Госуслуг», а также расширить действие программы на другие ведомства.

По словам организаторов тотальной проверки, программа еще раз доказала высокий уровень защиты платформы — ни один участник не смог найти действительно серьезной уязвимости. Поэтому миллион оказался «не разыгран».

«Платформа «Госуслуги», объединившая более 100 миллионов пользователей, — уникальный ресурс, которому трудно подобрать аналоги в мире. Это настоящий магнит для хакеров. В течение всего прошлого года и до сегодняшнего времени его надежность проверяется в боевых условиях глобального киберпротивостояния. Мы понимаем, что в эпоху тотальной цифровизации невозможно гарантировать безупречную цифровую безопасность, а значит, особенно важно быть на шаг впереди киберпреступников», — отмети Игорь Ляпунов, старший вице-президент по информационной безопасности ПАО «Ростелеком».

Организаторы проекта обратили внимание на заинтересованность независимых исследователей, которые были рады проверить на прочность сервисы государственного масштаба, при этом получив за это вознаграждение.

Лана Левада.