Prozorro снова приглашает "белых хакеров"

С 16 августа 2023 года снова работает программа Prozorro Bug Bounty: специалистов по кибербезопасности приглашают искать уязвимости в этой системе за вознаграждение.

Об этом сообщили в Prozorro изданию ain.ua.

Prozorro Bug Bounty организована государственным предприятием "Прозорро" и электронными площадками E-Tender, SmartTender и Zakupki.Prom. Впервые пилотную программу по поиску уязвимостей на уровне центральной базы данных Prozorro провели еще в 2019 году. Во время полномасштабного вторжения программу приостановили и сейчас возобновляют.

Она действует на постоянной основе. Координатором программы является компания Cyber Unit Technologies. В рамках Prozorro Bug Bounty они будут отвечать за валидацию уязвимостей, найденных этическими хакерами.

Поиск уязвимостей в системе проходит в тестовой среде – копии центральной базы данных, портала, других компонентов Prozorro, а также электронных площадок. 

Участники имеют необходимые доступы, инструменты и неограниченное количество времени для поисков уязвимостей в Prozorro. Согласно найденным уязвимостям багхантер получает денежное вознаграждение и попадает в рейтинг участников на портале публичных закупок.

Вознаграждение выплачивают в соответствии с уровнем найденной уязвимости. Их оценивают по категориям: от Р1, P2 и ниже. Уязвимости категорий Р4 не вознаграждаются, но по ним начисляются баллы.

Например, уязвимости категории P1 – это File Inclusion, RCE, SQL Injection, XXE, Authentication Bypass, Critically Sensitive Data, Command Injection, Hardcoded Password. За них предлагают вознаграждение в 28 тыс грн.

За уязвимости категории P2 (XSS (P2 specific), SSRF, CSRF (Application-Wide), Application-Level DOS (NOT DDOS), Hardcoded Password, Weak Password Reset Implementation) – 14 тыс грн.