В итоге максимальная выплата за найденный баг составила 350 тыс. руб., минимальная - 10 тыс. руб. Всего было обнаружено 34 уязвимости, большинство из которых - со средним и низким уровнем критичности.
Проект привлёк более 8,4 тыс. белых хакеров со всей страны. Средний возраст багхантеров составил 28 лет, минимальный - 17, а максимальный - 55 лет.
Работа исследователей помогла улучшить систему безопасности «Госуслуг», но при этом доступа к внутренним данным у багхантеров не было. Участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга, чтобы их нельзя было использовать для взлома. Тестирование проходило на платформах Bi.Zone Bug Bounty и Standoff 365. Спонсором проекта выступил Ростелеком, «РТК-Солар» является оператором информационной защиты портала «Госуслуг». В будущем планируется и дальше проводить багбаунти «Госуслуг», а также расширить действие программы на другие ведомства.
«Платформа "Госуслуг", объединившая более 100 млн пользователей, - уникальный ресурс, которому трудно подобрать аналоги в мире. Это настоящий магнит для хакеров. В течение всего прошлого года и до сегодняшнего времени его надёжность проверяется в боевых условиях глобального киберпротивостояния. Мы понимаем, что в эпоху тотальной цифровизации невозможно гарантировать безупречную цифровую безопасность, а значит, особенно важно быть на шаг впереди киберпреступников. «РТК-Солар» как оператор безопасности для «Госуслуг» выстоял под натиском исследователей. Мы благодарны всем, кто принял участие в багбаунти и помог сделать систему федерального значения ещё устойчивее. Программа ещё раз доказала высокий уровень защиты платформы - ни один участник не смог найти действительно серьёзной уязвимости. Мы уже реализуем изменения по итогам прошедших испытаний и надеемся, что подобные проекты станут отличной практикой в будущем», - сказал , старший вице-президент по информационной безопасности «Ростелекома», генеральный директор «РТК-Солар».
Сергей Груздев, "Аладдин Р.Д.": Безопасная дистанционная работа с личного компьютера возможна
«Готовность госучреждений публично проверять безопасность своих сервисов - важный шаг в построении по-настоящему надёжных и эффективных систем информационной безопасности. Надеемся, что Минцифры станет примером для других организаций и вскоре ещё больше компаний станут приходить на багбаунти в публичном или закрытом формате и проверять безопасность усилиями нескольких тысяч наших ИБ-исследователей», - сказал , руководитель направления багбаунти Standoff 365.
«Разместив программу на нашей платформе, министерство показало готовность и зрелость госструктур для багбаунти. За это короткое время ведомство уже смогло проверить многие ресурсы и повысить их защищённость. Что касается независимых исследователей, они были рады и очень заинтересованы в возможности проверить на прочность сервисы государственного масштаба, при этом получив за это внушительное вознаграждение», - сказал, директор департамента анализа защищённости и противодействия мошенничеству, директор по стратегии Bi.Zone.