Електронна система публічних закупівель Prozorro оголошує Bug Bounty! 


З 1 червня Prozorro оголошує новий Bug Bounty і запрошує білих хакерів до співпраці. Відтепер пошук вразливостей у електронній системі закупівель буде діяти на постійній основі. Фахівці з IT-безпеки, які приєднаються до проєкту, зможуть допомогти державі зробити захист даних міцнішим та отримати цікавий досвід і заохочувальні призи.


Що таке Bug Bounty і навіщо це Prozorro 

Білий хакінг визнаний одним з найпопулярніших та найдієвіших способів віднайдення вразливостей в ІТ-системах. «Монстри» IT бізнесу вже давно та успішно використовують такі програми (Google, Facebook, Amazon та інші), що не притаманно державним структурам, особливо в Україні. Нам не звикати «лупати скалу», тож ми одна із перших державних ІТ-систем, що розпочинає програму пошуку вразливостей Bug Bounty на постійній основі.

Для пошуку вразливостей учасникам доступне тестове середовище та інформація для роботи з ним: копія центральної бази даних, офіційний портал, кабінет Антимонопольного комітету України, кабінет Державної аудиторської служби, майданчики, що залучені до програми BugBounty та необмежена кількість часу на дослідження.

Все відбувається в правовому полі, адже всі дії відбуватимуться на pre-production environment (те саме тестове середовище). Ми також гарантуємо правову безпеку усім учасникам за умови дотримання правил участі.


Ти - «етичний хакер», ми – державна ІТ-система, ти маєш мрію її зламати, ми готові дати тобі можливість її втілити!


Рейтинг учасників

Учасник

Статистика за 2020 рік

Сигналів

Рейтинг

1.

2.

3.

4.

5.


Заохочувальні призи

Категорія вразливості згідно з BugCrowd Vulnerability Rating Taxonomy

Категорія
Приз
Вразливості для відповідної категорії
P1
зовнішній жорсткий диск
File Inclusion, RCE, SQL Injection, XXE, Authentication Bypass, Critically Sensitive Data, Command Injection, Hardcoded Password
P2
USB пилосмок / USB зволожувач повітря
XSS (P2 specific), SSRF, CSRF (Application-Wide), Application-Level DOS (NOT DDOS), Hardcoded Password, Weak Password Reset Implementation
P3
плед / подушка з мотивуючим написом 
HTTP Response Manipulation, Content Spoofing, Session Fixation, XSS and SSRF (P3 specific)
P4
термокружка / тарілка
Lack of Password Confirmation, Unsafe File Upload, Lack of Security Headers, Failure to Invalidate Session, Token Leakage via Referer or URL, Browser-Specific XSS, Weak Password Policy


Не приймаються потенційні загрози та вразливості без  детального опису вектору атаки та доказів потенційного завдання збитку або шкоди, наприклад:

- відсутність безпечних HTTP-хедерів та флагів cookie;
- розкриття версії програмного забезпечення;
- раніше відомі вразливі бібліотеки;
- вразливості в конфігурації SSL / TLS.

Права та обов’язки

Учасник зобов'язується:

  • не робити нічого незаконного та не надсилати спам;
  • не ділітися невідповідним вмістом чи матеріалами (пов’язаними, наприклад, зі злочинною діяльністю тощо) та не займатися шкідливою діяльністю (наприклад, передача вірусів);
  • не посягати на права інших осіб і не займатися діяльністю, яка порушує конфіденційність інших осіб;
  • не здійснювати розподілені атаки відмови в обслуговуванні (DDoS), а також використовувати системи автоматичного тестування, які генерують масивні об’єми мережевого трафіку;
  • дотримуватись вимог законодавства та Оферти.


Учасник має право:

  • отримувати винагороду в передбаченому порядку;
  • на правовий захист щодо участі у Програмі за умови дотримання вимог;
  • на відповідь та реагування Організатора у відповідь на звіт(и);
  • інші права, передбачені Офертою.


Вимоги до звіту

Звіти про виявлені вразливості приймаються на електронну адресу disclosure@prozorro.ua з темою листа: EPS Bug Bounty Program

Звіт може бути оформлений у довільній формі та містити таку інформацію:

  • інформацію про Учасника;
  • назва вразливості;
  • класифікація вразливості згідно з BugCrowd Vulnerability Rating Taxonomy;
  • суб’єктивна оцінка рівня ризику вразливості;
  • демонстрація вразливості;
  • опис кроків з відтворення вразливості;
  • HTTP-сесії, що демонструють вразливість;
  • знімки екрану, що демонструють вразливість;
  • пояснення щодо рівня ризику;
  • відео-демонстрацію відтворення вразливості.

Надаємо перевагу таким вразливостям:

- Remote Code Execution
- SQL Injection
- Cross-Site Scripting
- Cross-Site Request Forgery
- Authentication Bypass
- Privilege Escalation


Умови та правила участі

Дослідження вразливостей поширюється виключно на такі домени:

Модуль управління закупівлями та оскарженням:
 https://public-api-staging.prozorro.gov.ua 195.230.148.113, 195.230.148.114
 https://public-docs-staging.prozorro.gov.ua 195.230.148.113, 195.230.148.114
 https://swift-staging.prozorro.gov.ua 195.230.148.113, 195.230.148.114

Модуль проведення аукціонів:
https://auction-staging.prozorro.gov.ua 195.230.148.113, 195.230.148.114
https://auth-staging.prozorro.gov.ua 195.230.148.113, 195.230.148.114

Модуль управління моніторингами:
https://audit-api-staging.prozorro.gov.ua 195.230.148.113, 195.230.148.114

Офіційний портал:
https://staging.prozorro.gov.ua 195.178.150.103

Кабінет Держаудитслужби:
https://sas-cabinet-staging.prozorro.gov.ua 195.178.150.103

Кабінет Антимонопольного комітету
https://amcu-new-staging.prozorro.gov.ua 195.178.150.103

Майданчики:
https://zakupki.today/
https://test.smarttender.biz
https://stage.e-tender.ua/

Посилання на документацію: https://prozorro.gov.ua/openprocurement


Питання, відповіді та контакти

Якщо у вас є питання стосовно проєкту Hack Prozorro Full Edition або у вас є що нам запропонувати, напишіть нам на електронну адресу bugbounty@prozorro.ua і ми найближчим часом надамо вам відповідь та/або зв’яжемось з вами зручним для вас способом. 


Юридичні документи

Посилання на текст оферти: https://cutt.ly/KyPM3ic