Багхантеры нашли на Госуслугах 34 уязвимости

Олеся Афанасьева 19 Мая 2023 - 17:35

Домашние пользователи

Государство

Средства поиска уязвимостей

Средства тестирования на проникновение

Уязвимости программ

...

Багхантеры нашли на Госуслугах 34 уязвимости

Восемь тысяч “белых хакеров”, 34 уязвимости и 350 тыс. рублей максимальной выплаты — Минцифры отчиталось об участие “Госуслуг” на платформах BI.ZОNE Bug Bounty и Standoff 365. Доступа к внутренним данным госпортала у багхантеров не было.

Госуслуги “выставили” на bug bounty в феврале этого года. Публичные программы по поиску уязвимостей запустили сразу на двух платформах — BI.ZОNE Bug Bounty и Standoff 365.

За три месяца в эксперименте приняли участие более 8,4 тыс. багхантеров, рассказали в Минцифры. За критическую уязвимость “белым хакерам” обещали до 1 млн рублей, за мелкие баги — мерч с символикой проекта. Спонсировал программу “Ростелеком”.

В итоге максимальная выплата за найденный баг составила 350 тыс. рублей, минимальная — 10 тыс. рублей, отчитались в Минцифры. Всего было обнаружено 34 уязвимости, большинство из которых — со средним и низким уровнем критичности.

Общую сумму потраченных денег озвучивать не стали.

Всего в поисках уязвимостей на “Госуслугах” успели поучаствовать

8,4 тыс. багхантеров. Средний возраст — 28 лет. Самому взрослому энтузиасту было 55 лет, самому юному — 17.

Работа исследователей помогла улучшить систему безопасности Госуслуг, признают в Минцифры. При этом доступа к внутренним данным портала у багхантеров не было, подчеркнули в ведомстве.

“Участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга, чтобы их нельзя было использовать для взлома”, — говорится в отчете.

“Готовность госучреждений публично проверять безопасность своих сервисов — важный шаг в построении по-настоящему надёжных и эффективных систем информационной безопасности”, — комментирует итоги проекта руководитель направления багбаунти Standoff 365 Анатолий Иванов.

Эксперт выразил надежду, что Минцифры станет примером для других организаций.

“Разместив программу на нашей платформе, министерство показало готовность и зрелость госструктур для багбаунти, — соглашается директор департамента анализа защищённости и противодействия мошенничеству, директор по стратегии BI.ZОNE Евгений Волошин. — За это короткое время ведомство уже смогло проверить многие ресурсы и повысить их защищённость”.

В Минцифры уже пообещали продолжать подобные эксперименты, а также расширить действие программы на другие ведомства.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 09 Января 2025 - 22:08

Корпорации Средства поиска уязвимостей Аудит безопасности веб-сайта (сканер уязвимостей веб-сайта) Security Vision Softline

В магазине Softline появится сканер безопасности Security Vision

Интернет-магазин лицензионного программного обеспечения Softline начинает поставлять коробочное решение для комплексного управления уязвимостями Security Vision. Продукт доступен в трех версиях: на 100, 250 и 500 IP-адресов.

Сканер Security Vision включает обнаружение уязвимостей на активах, предоставление максимально подробной информации по выявленным уязвимостям и рекомендаций по их устранению (в т. ч. функциональность по автоматизации обновлений), а также процесс контроля с подтверждением устранения, мониторинг сроков и SLA.

Продукт состоит из трех основных блоков (Asset Management, Vulnerability Scanner, Vulnerability Management):

Управление активами (Asset Management), в рамках которого происходит формирование базы активов, включая сканирование и обнаружение новых активов, их автоматическую идентификацию, инвентаризацию и управление жизненным циклом, а также выполнение автоматизированных действий по администрированию;
Сканирование на уязвимости (Vulnerability Scanner), в котором представлен собственный движок по поиску уязвимостей с возможностями ограничения времени и применения «окон» сканирования на Windows/Linux хостах, средах контейнеризации, прикладном ПО, сетевых устройствах, базах данных и др.;
Устранение обнаруженных уязвимостей (Vulnerability Management), включая автоматическое подтверждение устранения, автопатчинг и интеграцию с внешними Service Desk.

В коробочном решении пользователям доступна полная функциональность за исключением возможностей, актуальных для крупных компаний со сложной ИТ-инфраструктурой, таких как конструкторы платформы и отказоустойчивый режим функционирования.

«Мы выпустили обновленный сканер Security Vision и наблюдаем большой интерес к нему со стороны рынка. Богатая функциональность и наличие сертификатов ФСБ и ФСТЭК России обеспечивают широкий спектр применения продукта. Настоящим шагом мы делаем сканер доступным для любого Заказчика — и большого, и малого, поскольку это важно, особенно сейчас», - говорит коммерческий директор Security Vision Екатерина Черун.

Выбор интернет-магазина Softline в качестве первой площадки для продаж сканера Security Vision неслучаен: Security Vision давно входит в пул приоритетных вендоров ведущего провайдера ИТ-решений и сервисов Softline. В рамках стратегического партнерства двух компаний происходит активное взаимодействие в части работы с заказчиками, включая широкую образовательно-консультационную деятельность, а также наращивание технической экспертизы по продуктам бренда Security Vision внутри Softline.

Багхантеры нашли на Госуслугах 34 уязвимости

Читайте также