Навіщо Prozorro знову знадобилися “білі хакери”
З 16 серпня 2023 року знову працює програма Prozorro Bug Bounty: фахівців із кібербезпеки запрошують шукати вразливості у цій системі за винагороду.
Prozorro Bug Bounty організована державним підприємством "Прозорро" та електронними майданчиками E-Tender, SmartTender та Zakúpki.Prom. Вперше пілотну програму пошуку вразливостей на рівні центральної бази даних Prozorro провели ще в 2019 році. Під час повномасштабного вторгнення програму призупинили і наразі відновлюють.
Вона діє постійно. Координатором програми є компанія Cyber Unit Technologies. У рамках Prozorro Bug Bounty вони відповідатимуть за валідацію вразливостей, знайдених етичними хакерами.
Пошук уразливостей у системі відбувається у тестовому середовищі – копії центральної бази даних, порталу, інших компонентів Prozorro, а також електронних майданчиків.
Учасники мають необхідні доступи, інструменти та необмежену кількість часу для пошуків вразливостей у Prozorro. Відповідно до знайдених уразливостей багхантер отримує грошову винагороду та потрапляє до рейтингу учасників на порталі публічних закупівель.
Винагороду виплачують відповідно до рівня знайденої вразливості. Їх оцінюють за категоріями: від Р1, P2 та нижче. Вразливості категорій Р4 не винагороджуються, але за ними нараховуються бали.
Наприклад, уразливості категорії P1 – це File Inclusion, RCE, SQL Injection, XXE, Authentication Bypass, Critically Sensitive Data, Command Injection, Hardcoded Password. За них пропонують винагороду у 28 тис. грн.
За вразливість категорії P2 (XSS (P2 specific), SSRF, CSRF (Application-Wide), Application-Level DOS (NOT DDOS), Hardcoded Password, Weak Password Reset Implementation) – 14 тис грн.