Prozorro будет платить “белым” хакерам за найденные уязвимости

Программа поиска уязвимостей Prozorro Bug Bounty, которую электронная система закупок Prozorro запустила в июне этого года, переходит на денежную систему вознаграждений для багхантеров. Об этом сообщает пресс-служба Prozorro.

“C 17 сентября Prozorro переходит на денежную систему вознаграждений. Теперь за каждую уязвимость высокого уровня (Р1) багхантеры будут получать 2800 грн, за Р2 — 1400 грн, за Р3 — 840 грн. Уязвимости низкого уровня — Р4 и Р5 не будут вознаграждаться.

Кроме того, каждый багхантер будет получать баллы за найденные уязвимости. Рейтинг багхантеров обновляется ежемесячно”, — говорится в сообщении.

Также меняется форма самого проекту Prozorro Bug Bounty. Если раньше в программе участвовали только ГП “Прозорро” и электронные площадки, подключенные к системе закупок, то теперь к проекту присоединилась общественная организация “РЕСКИЛЛ”, которая будет заниматься координацией и выплатами вознаграждений.

“В первые три месяца существования проекту семь багхантеров нашли 61 уязвимость. 49 уязвимостей оказались не критического уровня. Багхантер на никнейм Jarvis, который нашел наибольшее количество уязвимостей, был награжден квадрокоптером DJI Mavic Air 2 Fly More Combo. Остальные участники получили поощрительные призы — фирменные жесткие диски , футболки, свитшоты, фирменные антисептики и маски”, — рассказали в Prozorro.

В компании добавили, что поиск уязвимостей в системе проходит в тестовой среде, что никак не сказывается на функционировании электронной системы закупок.

“Участники имеют необходимые доступы, инструментарий и неограниченное количество времени на исследование. Каждый участник может представить отчет о найденных уязвимостях на электронную почту [email protected]. Согласно найденным уязвимостям багхантер получает денежное вознаграждение и попадает в рейтинг участников, который ведется на портале Prozorro”, — говорится в сообщении.