Prozorro знову запрошує "білих хакерів"

З 16 серпня 2023 року знову працює програма Prozorro Bug Bounty: фахівців з кібербезпеки запрошують шукати вразливості у цій системі за винагороду.

Про це повідомили у Prozorro виданню ain.ua.

Prozorro Bug Bounty організована державним підприємством "Прозорро" та електронними майданчиками E-Tender, SmartTender і Zakupki.Prom. Вперше пілотну програму з пошуку вразливостей на рівні центральної бази даних Prozorro провели ще 2019 року. Під час повномасштабного вторгнення програму призупинили і зараз відновлюють.

Вона діє на постійній основі. Координатором програми є компанія Cyber Unit Technologies. У межах Prozorro Bug Bounty вони відповідатимуть за валідацію вразливостей, знайдених етичними хакерами.

Пошук вразливостей у системі проходить у тестовому середовищі – копії центральної бази даних, порталу, інших компонентів Prozorro, а також електронних майданчиків. 

Учасники мають необхідні доступи, інструменти та необмежену кількість часу для пошуків вразливостей у Prozorro. Відповідно до знайдених вразливостей багхантер отримує грошову винагороду та потрапляє до рейтингу учасників на порталі публічних закупівель.

Винагороду виплачують відповідно до рівня знайденої вразливості. Їх оцінюють по категоріях: від Р1, P2 і нижче. Вразливості категорій Р4 не винагороджуються, але по них нараховуються бали.

Наприклад, вразливості категорії P1 – це File Inclusion, RCE, SQL Injection, XXE, Authentication Bypass, Critically Sensitive Data, Command Injection, Hardcoded Password. За них пропонують винагороду в 28 тис грн.

За вразливості категорії P2 (XSS (P2 specific), SSRF, CSRF (Application-Wide), Application-Level DOS (NOT DDOS), Hardcoded Password, Weak Password Reset Implementation) – 14 тис грн.