Нашли 34 уязвимости, максимально выплатили 350 тысяч рублей: Минцифры — об итогах программы bug bounty по Госуслугам Статьи редакции
Её планируют проводить и дальше.
- Программу поиска уязвимостей на Госуслугах и в Единой системе идентификации и аутентификации запустили в феврале 2023 года, она длилась три месяца. Минцифры поделилось результатами и пообещало расширить программу на другие ведомства.
- За три месяца к программе присоединилось 8,4 тысячи участников. Средний возраст — 28 лет, минимальный — 17 лет, максимальный — 55 лет.
- Всего участники нашли 34 уязвимости, большинство из которых — со средним и низким уровнем критичности.
- Минимальная выплата составила 10 тысяч рублей, максимальная — 350 тысяч рублей. За какую именно ошибку выплатили деньги, ведомство не указывает. При этом можно было получить до 1 млн рублей за найденную критическую уязвимость.
- Программа проходила на платформах BI.Zone и Positive Technologies. Призовой фонд составил 10 млн рублей, спонсором выступал «Ростелеком».
- На форуме Positive Hack Days глава Минцифры Максут Шадаев рассказал, что ведомство снизило темпы развития Госуслуг и поменяло концепцию сайта — чтобы обеспечить большую безопасность данных.
17K
показов
8.2K
открытий
1
репост
«поменяло концепцию сайта» - да, заметно, теперь каждую неделю чистим спам с «патриотическими» рассылками
О, мне перед Днём Победы пришло письмо с угрозой поздравить участников сво, я ах прих... изрядно удивился.
В каждом письме есть ссылка на отписку от рассылки, также никто не заставляет вас держать аккаунт госуслуг и получать какую либо информацию от них.
Но видимо вы все же в душе глубокий патриот, что каждую неделю ждете письма от них, чтобы прочитать и удалить.
Отключите Госпочту и всякие прочие рассылки, если еще не. Мне ничего вроде бы не приходило уже несколько месяцев.
отличная концепция)
Обещаю, когда найду там критическую уязвимость - продам её на чёрном рыночке.
Поступишь как настоящий гражданин, потому что государство в текущем виде ничего хорошего для народа не несёт. Государство курильщика.
Главное чтобы вас потом там не продали
Мозгов-то хватит?
Комментарий недоступен
Можно, сокамерники посмеются.
Можно, конечно. Действуй!
А так раньше нельзя было?
Выплачивали нашедшие. 1 млн Министерству ни от кого получить, к сожалению, не удалось.
Кстати вот тоже не понял как они решали 1млн отдать или нет. Получи шанс, если выпадет удача, то может быть, в случае удачного стечения обстоятельств, после подведения промежуточных итогов 1/1000 четверти финала...
скорее всего никому и не выплатят столько
10 000 руб. - минимальная выплата.
10 000 руб. - 125 USD.
125 USD - это размер оплаты за 2-2.4 смены за самую низкоплачиванию работу в самой загнивающей стране мира (США).
Таков размер вознаграждения программистам в РФ?
То есть, как оплата за мытье полов менее 3 смен?
Таков размер минимального вознаграждения любому, кто нашел минорную ошибку. Это не обязательно программист должен быть. Еще раз - это оплата за результат (нашли за день одну ошибку, получили 125$, нашли 5 ошибок, получили 625$ за день). Это не очень грамотно сравнивать со сменой любой профессии любой страны мира, т.к. это сравнение с повременной оплатой.
Где ты в сша нашёл такую маленькую зп? В маке от 10-12$ в час чистыми, это ну условно 100-120$ в день, то есть грубо это смена в маке сша по оплате
Комментарий удален модератором
Отлично экономят на тестировщиках) Зачем постоянно платить работникам, когда можно попросить пользователей найти баги за небольшие деньги? Надежный план
Нахождение уязвимостей - это 5% от всего обьема тестирования такого сервиса
Комментарий недоступен
Wow месячный оклад одного чиновника
Комментарий недоступен
За какую именно ошибку выплатили деньги, ведомство не указывает
Нашли лазейку как избежать получения электроповестки?
Комментарий удален модератором
Да, флаг "сын депутата" ошибочно проставлялся тёзкам. Теперь для него требуется владеть гелентвагеном.
"За какую именно ошибку выплатили деньги, ведомство не указывает."ну и суть новости заключается только в сумме выплаты,а на счет чего конкретно решили опустить новость
большинство из которых — со средним и низким уровнем критичности.
А высокого уровня критичности они не нашли?
Возможно нашли, просто премию получили в другом месте и размере )
Немало лет назад встречал забавную фразу: "проблема найма действительно хороших экспертов по информационной безопасности состоит в том, что им не нужны гроши, предлагаемые работодателями" )
Всем по 350 или всего 350?
Самая большая выплата за баг, составила 350000, за остальные меньше, минималка - 10000 была, я получил 194 с копейками.
Оплачу написание досудебной жалобы на Ростелеком по поводу бесконечных спам звонков. Выплаченную компенсацию распределю с автором!
Если вам поступают нежелательные звонки от нас, то напишите нам в официальное сообщество "Ростелеком" в "Вконтакте" или "Одноклассники". Мы разберёмся в ситуации.
Комментарий недоступен
Комментарий удален модератором
А заказать нормальный пентест у этих уважаемых контор была не судьба?:)
Такие программы есть у многих крупных компаний. Ну и процесс поиска уязвимостей бесконечный, его нельзя закрыть за какой то период
35 уязвимостей, что-то маловато. Или большие молодцы или лукавят
Маловато? Для одного сервиса государственного уровня?
Комментарий удален модератором
просто баги с высоким уровнем критичности продали за бОльшие деньги чем могут дать за официальный репорт бага
Это ничего не мешает делать и до введения bug bounty программы
"При этом можно было получить до 1 млн рублей за найденную критическую уязвимость."и что ,это получается выплатили столько денег за найденные уязвимости
Интересно, а был ли риск, что до обнаружения уязвимостей их эксплуатировали?
А ты думаешь сливы баз данных откуда берутся?
Почему со страницы карточки исполнительного производства убрали кнопку запроса хода ИП и кнопку обращения к приставу? Теперь приходится искать это как услугу, указывать номер ИП, далее-далее-готово. Бред. Пидоры, верните кнопки.
Исправление ошибок - это, конечно, хорошо. Жаль, что теперь я не каждый раз могу зайти на госуслуги. Вероятно моё желание часто пользоваться госуслугами было признано ошибкой 🤷♂️
Комментарий недоступен
А вы пробовали в адресной строке перед gosuslugi.ru приписывать https://
Я там столько багов находил за последний год, причем критических, которые не позволяли получить услугу... Но я не верю ни в какие выплаты от тех, кто постоянно врёт) причем баги находятся на уровне поверхностной работы тестировщика. Видимо там с кадрами в штате всё очень очень плохо, возможно деньги выделяются, но идут сами знаете куда, вместо тестировщиков на рабочих местах мертвые души
Так никто и не сомневался в качестве сего ПО....
ну если делает сайт безопаснее, почему нет
Пф, всего 34 уязвимости, еще есть куда стремиться