Меню
Главная Блог “Белые” Хакеры взламывали систему государственных закупок ProZorro
“Белые” Хакеры взламывали систему государственных закупок ProZorro

“Белые” Хакеры взламывали систему государственных закупок ProZorro

2019-10-03

В Украине прошел первый марафн по поиску уязвимостей системы среди государственных предприятий. Хакеры пытались взломать систему государственных закупок ProZorro.

При поддержке De Novo, 21 сентября 2019 года, прошел bug bounty проект Hack ProZorro. В рамках которого, так называемые этические хакеры искали уязвимости в системе государственных закупок ProZorro.

Баг-баунти программа - это процесс, в котором компания привлекает сторонних специалистов по кибербезопасности ( "белые хакеры" или "рисерчеры") для тестирования своего программного обеспечения на уязвимости за монетарное вознаграждение. За каждую найденную уязвимость (баг) рисерчер получает вознаграждение (баунти).

Компания публично объявляет Скоуп (от англ. "Scope" - "объем") работ, уровень вознаграждения за уязвимости и любой желающий может зарегистрироваться и участвовать в баг-баунти программе.

Проекты баг баунти начали приобретать большую популярность с 2011 года. Среди крупных компаний первыми попытались искать свои уязвимости были Facebook, Google, Yahoo, Microsoft, Mozilla, Reddit.

С течением времени bug bounty начали использовать государственные предприятия передовых технологических стран. В 2016 году свою программу объявило Министерство Обороны США с громким названием "Сломать Пентагон". За все время проекта министерство выплатило этическим хакерам более $ 330,000 за 300 выявленных уязвимостей.

В ЕС опыт проведения bug bounty в государственном секторе только зарождается. В Великобритании в прошлом году белые хакеры проверили правительственные веб-сайты. В Гааге этого года bug bounty проведет городской совет. В Швейцарии в этом году белые хакеры проверили национальную систему электронного голосования. В Сингапуре только второй год как действует bug bounty программа.

В Украине первым государственным предприятием которое тестировали хакеры, стала система государственных закупок ProZorro. Призовой фонд ивента составил $7,000 и грант $10,000 на сертификацию в учебном центре Softprom by ERC. Хакеров отбирали на открытом конкурсе. К участию приглашались украинцы с соответствующим опытом в кибербезопасности и баг-хантинга.

"Мы давно хотели провести ивент такого формата, когда мы будем платить специалистам по кибер-безопасности за найденные уязвимости нашей системы. В этом году безопасность стала наша приоритетным направлением. Большое спасибо партнерам, которые поддержали нас в этом проекте. Отдельная благодарность De Novo, которые всегда идут нам на встречу и с которыми мы вместе развиваем ИТ направление в Украине", - подчеркнул Евгений Ентис, директор ИТ отдела ProZorro.

Марафон поиска багов происходил в течение 7 часов. За это время хакеры нашли 16 уникальных уязвимостей, среди которых 3 были критическими. Никакой уязвимости в центральной базе данных по закупкам и модулю аукционов хакеры не обнаружили. Все тестирование происходило на тестовой системе.

"Это событие высокого уровня, когда государственная компания проводит такие ивенты, как Hack ProZorro. Мы рады поддержать новые проекты, которые способствуют развитию цифровой трансформации нашего государства ", - отметил Дмитрий Бахмацкий, директор по маркетингу De Novo.

Участие в bug bounty марафоне Prozorro приняли 12 хакеров с украинским гражданством из областей Украины и за рубежа. Самому младшему участнику было всего 15 лет, но он уже имеет опыт участия в bug bounty Google, SoundCloud и еще ряда компаний.