Минцифры запустило программу bug bounty по Госуслугам с вознаграждением до 1 млн рублей Статьи редакции
Её спонсирует «Ростелеком».
- Программа наград за найденные уязвимости пройдёт в несколько этапов, объявило Минцифры. Первый этап продлится три месяца, независимые исследователи проверят Госуслуги и Единую систему идентификации и аутентификации. На следующих этапах ведомство расширит список сайтов и обновит условия программы.
- Вознаграждение зависит от степени уязвимости: за низкую можно получить подарки, за среднюю — до 50 тысяч рублей, за высокую — от 50 тысяч до 200 тысяч рублей, за критическую — до 1 млн рублей. Призовой фонд — 10 млн рублей, программу спонсирует «Ростелеком».
- В программе, которая проходит на платформах BI.Zone и Positive Technologies, смогут участвовать граждане России. Для этого нужно зарегистрироваться на выбранной платформе.
- Минцифры анонсировало программу bug bounty по Госуслугам в октябре 2022 года, но детали не раскрывало. По данным Positive Technologies, за 2022 год хакеры совершили более 400 атак на госучреждения — это на 25% больше год к году.
10 622
просмотров
Чую огребу я минусов за этот коммент, но объясните, откуда такой хейт к госуслугам?
Минцифры же просто титатническую работу делает, чтобы весь вековой слой бюрократии перевести в электронный вид и сделать удобным.
Быстро такие вещи не делаются, но сравнивая с тем, например, сколько мне нужно было сидеть в очереди просто чтобы получить паспорт в 2008м, улучшения и удобства очевидны
Потому что законы можно трактовать по-разному. Нашедшему уязвимость, вря тли денег дадут, скорее срок.
Все проблемы от людей которые составляют и принимают эти законы.
Да...лучше бы занялись бюрократией на уровне новый газовый счётчик=новый лицевой счёт не по адресу регистрации - привезти, ск, этим госорганам какую-то херабору за 1000 км с названием "справка о составе семьи" и "а без домовой книги мы вам справку не выдадим".
Пережитками бы занялись, а не вот этими конкурсами.
Вот знатно смеялись, когда инициативу очередную ввели, что можно показывать права при остановке инспектором в электронном виде на ГУ.
13 января 2023 года в приложении «Госуслуги Авто» всё-таки появилась электронная версия водительского удостоверения. Также там есть цифровая копия СТС — второго основного документа, который требуют автоинспекторы у водителей. Это стало возможным благодаря совместной работе Минцифры и МВД.
На сайте всё просто -
Выбрать в приложении водительские права или нужное СТС и нажать «Предъявить документы». Инспектор ДПС считает появившийся QR-код через специальную программу. Данные автоматически загрузятся из базы Госавтоинспекции .
В жизни всё страшно - эта шарманка не открывается, а у нас очень суровые гайцы. Спасибо, обойдёмся и дальше без этих странных инициатив, повозим всё и дальше в бумажном виде.
Их типовая картина:
Вот я лично 1,5 года назад ставил машину на учёт через госуслуги. Как они висят. Особенно мне нравится, когда "нет свободных дат" (на тот момент настолько частая проблема, что о ней каждый второй говорил из моих знакомых) на год вперёд. Лечилось это тем, что выходишь из кабинета, ждёшь, заходишь, и из черновика продолжаешь, и о чудо есть свободные даты через пару дней.
Абсолютно поддерживаю. Облегчает многие взаимодействия с различными организациями.
Потому что проблемы надо решать по степени важности, а не то что хочется. Это всего лишь изображение активности, распил бюджета и отакт страны все дальше и дальше от цифровой экономики
Бумажная бюрократия превратилась в дорогущую электронную бюрократию
Отчасти я рад, что такой сервис существует, но лично моё с ним сотрудничество, мягко говоря, не удалось.
К врачу на приём записаться невозможно: либо номерки недоступны, либо всё занято на месяц вперёд. Зато сто́ит прийти в поликлинику лично и я попадаю на приём в порядке живой очереди, где сидят вперемешку как с номерками, так и без. И смысл от этих Госуслуг?
Недавний случай: решил сделать загранпаспорт, но старый потерял. Заполняю форму, в графе данных о предыдущем паспорте пишу "утерян". Заявление отклоняется по причине неправильного номера старого загранника. Второй раз отправляю, всё то же. Лично пришёл в миграционный пункт, мне сказали, что всё должно пройти, мол вариант "утерян" допустим. Ладно, приезжаю домой, заполняю форму, отправляю, снова возврат по той же причине. Я во второй раз приезжаю в пункт, мне говорят всё то же, что и в прошлый раз. Но в этот раз я отказываюсь покинуть кабинет, пока мне не продиктуют номер старого паспорта. И вот только тогда всё прошло.
Не знаю, Налог.ру сюда же или нет, но была ситуация, когда мне вычет просрочили на два месяца. И, пока я не приехал лично, ситуация не разрешилась, несмотря на две жалобы, отправленные через сайт.
В общем, я вообще не понимаю, зачем вся эта хрень нужна, если она нормально не работает.
В конкретном кейсе можно перестать экономить, используя наемный труд.
Bug bounty программа появляется, на мой взгляд, вот откуда: нанимать большой отдел тестировщиков не хочется, а результат хочется.
Разверну мысль: создавая подобный "конкурс" Госуслуги и, в частности, Ростелеком, получают много специалистов, работающих тестировщиками условно-бесплатно в теч. 3ех месяцев ("Первый этап продлится три месяца, независимые исследователи проверят Госуслуги и Единую систему идентификации и аутентификации.).
Не вижу причин любить Госуслуги, Ростелеком в конкретном кейсе. Особенно, как потенциальный тестировщик.
Очень многое сводится к цифровизации\автоматизации того, что в принципе делать не нужно и бессмысленно. Получается автоматизированный идиотизм.
Бесплатный сыр в мышеловке.
Никто и не говорит что госуслуги нужно отменить и вернуться к бюрократии.
Здесь претензии больше к тому что не сделано
Комментарий удален модератором
У собаки Павлова слюна течет от света, не важно что испускает этот свет, когда то все это начиналось как адекватное обращение внимание на существующие минусы и как адекватное требование эти минусы устранить, но куча левых отморозков с таким удовольствием оценили возможность выпустить пар, что в итоге и сами нечего не сделали и другим возможность что то сделать, отрезали напрочь. В итоге остается только хейтить
потому что кто в «малом» нудит что все не так, тот и в «большом» ничего не видит.
Просто люди хотят чтобы все было за одну секунду, и не понимают какой офигенной системой пользуются. В целом гос услуги Мега крутое создание. Она прям все облегчает, но то что люди просят больше это тоже хорошо.
Неужто?! Но
за низкую можно получить подаркинесколько смущает. Это как "подарки от партнёров"? Вроде: 10% скидка на суперхренобублик в хренобублишной, о которой никто не знает?
В УК РФ уже подробно расписаны все возможные бонусы
Скорее 10% скидка на мешок сухарей
Учитывая, что примерно такие у РТ бонусы для пользователей, то вполне возможно.
Главный подарок – повестка в военкомат
Ммм... Суперхренобублик...
Да действительно задолбали с этими подарками от партнёров: типа купите букет в магазине "цветочек вяленький" в пятую среду ноября 2035 года. Так и хочется послать их на...
Тебя никто не заставляет участвовать, раз смущает. Хотя, судя по твоим способностям к осмысленным комментариям, сомневаюсь что у тебя бы что-то получилось. Ведь ты даже на сайт перейти не в состоянии и посмотреть, что там предлагают мерч.
10% тарифа МТС, например.
ну тех кого смущает,те тратить время на это не будут
Или которая разорилась ещё в 2020году из-за СтрашнойЗлойКовиды...
выпустят по удо
Зайдите на сайты хакеров в США, Европе, Китая и напишите там коммент примерно следующего содержания, на английском языке только: "Ваши хакеры лоша.ы, у нас сайт госуслуг самый защищённый в мире!" И тогда сразу увидите все свои уязвимости.
Как только сделать так чтобы именно тебе это бонусом засчитали?)
Думаешь это так работает? Никто не будет тратить ресурсы из-за какого-то Васяна, написавшего коммент.
ок, это верхняя граница, а нижняя я так понимаю, описана в 272 УК РФ ч.4:
наказываются лишением свободы на срок до семи летнаписано же
форт Боярд ждёт.
Cвятой водой сервера побрызгайте и всё будет хорошо.
Сервера лучше полность погрузить в святую воду. Так надёжнее.
Нет серверов - нет уязвимостей.
думаю уже это сделали, но что-то не особо помогло
тогда будет не просто все хорошо,а превосходно
Я тут пожаловлся, что на mos.ru не работает отдел "карта читателя" при включенном AdBlocker - меня послали нахуй
конкурс - это бюджет, а проблемы решать - это затраты. Вот и вся инициатива. Россией правят чиновники!
Так это не уязвимость. Бабки дают(якобы) за уязвимости.
Ну вот тоже человек, пожаловался https://habr.com/ru/post/476034/ отделался условкой вроде. Так что аккуратнее жалуйтесь.
Мосру виноваты, что Васян внёс стиль какой-то как рекламный в базу?
И программа приключений вам обеспечена!
- Как вы стали космонавтом?
- На госуслугах куда то не туда нажал.
Я прошу прощения, но за какой то существенный баг в нужных местах заплатят куда больше, чем 1 млн рублей. Они блять с какой планеты там?
Бюрократ-9!
Вспоминаю когда чел нашел уязвимость в госуслугах и не хотел публиковать её из-за страха уголовного преследования.
но всем об этом рассказал?
Про надежность работы Госуслуг. Дочь летом пыталась подавать заявления на поступление в ВУЗы через сайт. По закону это можно делать либо через Госуслуги, либо через сайт ВУЗа, либо лично явиться в ВУЗ.
Но подавая заявление не через Госуслуги, ты автоматом лишаешься возможности в час Х подать окончательно документы в выбранный ВУЗ.
Кто не в курсе - сейчас сначала все подают заявления (до 5 ВУЗов можно предварительно податься), ВУЗы вывешивают текущие списки абитуриентов и их баллы, студенты оценивают свои шансы и до момента Х должны выбрать только один ВУЗ и одну специальность. И вот в последний день начинается самый кипиш.
И если ты предварительно подал заявления в разные ВУЗы в разных городах страны, то день Х надо либо через Госуслуги сделать окончательный выбор, либо ножками в ВУЗ с оригиналами доков.
Так вот суть проблемы: Госуслуги принимали предварительные заявления и писали "Всё Ок", но выяснялось что ВУЗы не видели эти заявления. Проблема была массовая. Саппорт знал о ней и сразу отвечал "Проблема на контроле, скоро решим".
Но не решили даже после окончания сроков приема заявлений. ВУЗы просто отказали абитуриентам, так как не получили от них заявлений.
Истерики и слезы абитуриентов, разъярённые родители. Звоним в саппорт, просим соединить с руководителем, отвечают "Минцифры".
Звоним в приемную Минцифры. Там приветливая секретарь отвечает, как только она понимает зачем звонишь, то сбрасывает трубку и с этого телефона уже больше не дозвониться, только с другого номера.
Проблему они не решили до сих пор, судя по статусам тикетов.
Я так понимаю, через ГУ с нынешнего дня мало что удастся сделать? Всё будет висеть, лежать? Или нет?
Не совсем. На самом деле очень активно используется. Удобный сервис.
Миллион? Думаю, продать на чёрном рынке будет выгоднее
Копейки
Национальная Русская Идея - Чудо! Платим не будем, вы тут все сделйте, мы потом вам грамоту дадим.
Уже нашёл и заработал миллион?
Как вовремя))
МОСКВА, 10 февраля. /ТАСС/. Пользователи портала госуслуг с 1 марта 2023 года будут иметь возможность подключить второй фактор авторизации. С июня его подключение станет обязательным для всех, сообщил журналистам глава Минцифры РФ Максут Шадаев.
Он напомнил, что в настоящее время для авторизации нужен только логин и пароль, однако Минцифры совершенствует систему защиты, так как существующей уже недостаточно.
«Мы совершенствуем систему защиты — вводим программу обязательности второго фактора. [С новой системой] мы стартуем 1 марта и поэтапно будем вводить второй фактор как обязательный, — сказал министр. — С 1 июня это будет обязательно для всех пользователей».
Шадаев пояснил, что в рамках новой системы защиты это может быть, например, дополнительное SMS-сообщение на номер телефона. Двухфакторная аутентификация позволит улучшить положение, в частности, тех пользователей «Госуслуг», которые используют «простые» пароли.
у них дырявый, если речь про серт, а смс в прнципе потенциальная чёрная дырень, т.к. есть доступ у операторов и тех кто их контролит
Так я итак всегда sms ввожу при входе
Помню, когда у бывшей девушки взломали аккаунт на госуслугах. Вот где треш. Это было ночью. На горячей линии отправляли в ближайшее МФЦ, которое по ночам не работает))
Слава яйцам!
- Как Вы умудрились оформить ипотеку на 300 квартир одновременно?
- Да я на ГосУслугах хотел зарегистрировать пособие по безработице. Потом свет рубанули... Очнулся, гипс.
Ну поехали 😈 взъебать родные гос.услуги, легально, вполне приятно
раскажешь нам потом где чалишься и скока срок дали, отец, мы тебе всем VC грев загоним.
Потом ролик м извинениями всей семь снимать придется)))))
Да ну, зачем. И так ладно. Работает, не трогай))
особенно, когда
Её спонсирует «Ростелеком».)))
Мне кажется это лишнее, так как дают зеленый свет для взломов без наказаний🙈
А кто сказал, что без наказаний? Бабки-то выдают в одном месте, а наказания - совсем в другом.
Они разорятся
Зачем платить, если можно посадить?
Не-а...
ну знаете 100р тоже до 1млн
С того момента как через Госуслуги стало возможно взять кредит, мне было как-то неуютно. Если эта работа действительно приведет к улучшению безопасности, то я только ЗА.
Не райское, не наслаждение
а в чем смысл этой программы?
Секрет!
выявить умельцев и загнать их в шараги
Хочется верить, что действительно всё так, как преподносится.
Проблема в самих, так как допускают всякие "левые" сайты, доски объявлений (Авито) и т.д. к госуслугам.
Комментарий недоступен
Программа переписи малолетних кулхацкеров? А законопроект о декриминализации нсд уже приняли или только анонсировали?
Приз можно будет потратить в тюремном ларьке.
Госуслуги - хорошая затея, которую надо допиливать. С порталом связан как позитивный, так и негативный опыт.
Электронные права/стс - качнул отдельное приложение, там всегда все работает. Только ни разу меня с ним не остановили. Какое-то, сука, приложение-оберег.
Приложение налоговой - на мой взгляд, песня, сказка. Для тех, кто любит тратить.
Что за англицизмы в министерстве цифровой правды? Это же измена идеалам!
Кинут на деньги 100%, как и во всех остальных сферах. С ними нельзя иметь никаких деловых отношений
ИТ сообщество о госпрограмме bugbounty мечтало лет 20. А как сделали - кучка подонков с VC сразу же всё обгадили. Позорище 🤦♂️
Дедушка пожалуйста не ругайтесь!
Одна сплошная уязвимость...
Как это вы сумели 2 раза умереть и 3 раза воскреснуть и это всё за один месяц?
Просто пытался на госуслугах записаться к врачу на приём!
Как бы я не относился к Шадаеву (Максут, лови ещё один хуй в панамку на всякий случай), но стоит признать, что сама по себе инициатива, если абстрагироваться от личных пристрастий, вполне себе нормальная.
Но какого хуя тут делает Ростелеком (ну, то есть, я-то понимаю, почему), совершенно непонятно.
Комментарий удален модератором
Как раз как на западе
Нытикам посвящается: когда ваши перс данные утекают, вы ноете. Когда ваши перс данные хотят обезопасить, вы ноете. Идите в жопу
Попадалась вроде даже на VC статья, как у пользователя из Калининграда «восстанавливали» доступ к кабинету госуслуг «личным посещением МФЦ» в каком-то в ауле. На какую премию тянет такая уязвимость?
Снова очередное «ко-ко-ко» вокруг. Люди, вы просто зажрались, то как у нас реализовано получение справок, совершение банковских переводов это просто восьмое чудо света. В некоторых странах до сих пор нужно через гонца на коне отправлять письмена в казну, чтоб совершить какую-то банковскую операцию со своим счетом. Справки люди получают спустя недели, а у Вас все в электронном формате, да бывают перебои, да бывает, что что-то не работает, но вы представьте объем данных, который обрабатывается порталом, сколько запросов происходит ежесекундно и переодически это не может работать гладко.