Следите за новостями

Цифра дня

1400 жалоб поступило от граждан в МЦРИАП в связи с утечкой Zaimer.kz

Хантеры нашли дырки в госинформсистемах

Озвучены итоги трехмесячного пилотирования национальный площадки BugBounty.

11 марта 2021 09:00, Profit.kz
Рубрики: Безопасность

За три месяца работы пилотного проекта национальной площадки BugBounty было получено 173 отчета об уязвимостях от исследователей не только из Казахстана, но также из России и Малайзии. Из них выделили топ-10 исследователей, из которых составили рейтинг.

Хантеры нашли дырки в госинформсистемах

Так, независимый казахстанский исследователь под ником k1r (Кирилл Мурзин) сдал порядка 10 уязвимостей электронного правительства, а исследователь под ником shell (Павел) сдал критическую уязвимость, влияющую на практически любой домен в национальной зоне.kz.

«Наша платформа является абсолютно новой в Казахстане, но к нам регулярно поступают предложения участия на площадке от разных частных компаний и инициативы по поддержке проекта. Запуск BugBounty площадки показал, что многие государственные и частные информационные системы легко подвержены уязвимостям. Как пример мы продемонстрировали первый публичный отчет исследователя под никнеймом kombat, который обнаружил критичную уязвимость „Bypass Authorization in Admin panel“ на информационной системе Zerde.gov.kz. На данный момент уязвимость устранена», — сообщили основатели платформы.

В рамках функционирования площадки обнаружено, что этот случай не единственный. В связи с этим сейчас идут обсуждения совместно с МЦРИАП РК о создании нормативно-правового обеспечения BugBounty площадки, которое будет обязывать участие государственных систем в программе BugBounty на законодательном уровне. Отмечается, что данная инициатива необходима для выявления актуальных уязвимостей в информационных системах участников и получения возможности их своевременного устранения.

«Мы ежедневно получаем отчеты с уязвимостями от исследователей и каждый отчет проверяется нашей командой специалистов безопасности. Весь процесс состоит из принятия отчета, проработки и подтверждения наличия уязвимостей, уведомления владельцев ресурсов о наличии уязвимостей на их системах и ожидания от них ответов. Процесс занимает немалое количество времени, на разных этапах скорость обработки не зависит от нас. Поэтому просим багхантеров проявить терпение и отнестись с пониманием», — добавили инициаторы проекта.

Подписывайтесь на каналы Profit.kz в Facebook и Telegram.