В начале февраля Минцифры запустило проект по поиску уязвимостей на Госуслугах. В течение трех месяцев более 8,4 тысячи участников багбаунти проверяли защищенность портала и боролись за вознаграждение: подарки с символикой проекта — если найдены небольшие баги, и денежные призы до миллиона рублей — за критические уязвимости.
В итоге максимальная выплата за найденный баг составила 350 тысяч рублей, минимальная — 10 тысяч рублей. Всего было обнаружено 34 уязвимости, большинство из которых — со средним и низким уровнем критичности.
Проект привлек более 8,4 тысячи белых хакеров со всей страны. Средний возраст багхантеров составил 28 лет, минимальный — 17, а максимальный — 55 лет.
Работа исследователей помогла улучшить систему безопасности Госуслуг, но при этом доступа к внутренним данным у багхантеров не было. Участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга, чтобы их нельзя было использовать для взлома. Тестирование проходило на платформах BI.ZОNE Bug Bounty и Standoff 365. Спонсором проекта выступил Ростелеком, РТК-Солар является оператором информационной защиты портала Госуслуг. В будущем планируется и дальше проводить багбаунти Госуслуг, а также расширить действие программы на другие ведомства.
