Багхантеры нашли на Госуслугах 34 уязвимости

Олеся Афанасьева 19 Мая 2023 - 17:35

Домашние пользователи

Государство

Средства поиска уязвимостей

Средства тестирования на проникновение

Уязвимости программ

...

Багхантеры нашли на Госуслугах 34 уязвимости

Восемь тысяч “белых хакеров”, 34 уязвимости и 350 тыс. рублей максимальной выплаты — Минцифры отчиталось об участие “Госуслуг” на платформах BI.ZОNE Bug Bounty и Standoff 365. Доступа к внутренним данным госпортала у багхантеров не было.

Госуслуги “выставили” на bug bounty в феврале этого года. Публичные программы по поиску уязвимостей запустили сразу на двух платформах — BI.ZОNE Bug Bounty и Standoff 365.

За три месяца в эксперименте приняли участие более 8,4 тыс. багхантеров, рассказали в Минцифры. За критическую уязвимость “белым хакерам” обещали до 1 млн рублей, за мелкие баги — мерч с символикой проекта. Спонсировал программу “Ростелеком”.

В итоге максимальная выплата за найденный баг составила 350 тыс. рублей, минимальная — 10 тыс. рублей, отчитались в Минцифры. Всего было обнаружено 34 уязвимости, большинство из которых — со средним и низким уровнем критичности.

Общую сумму потраченных денег озвучивать не стали.

Всего в поисках уязвимостей на “Госуслугах” успели поучаствовать

8,4 тыс. багхантеров. Средний возраст — 28 лет. Самому взрослому энтузиасту было 55 лет, самому юному — 17.

Работа исследователей помогла улучшить систему безопасности Госуслуг, признают в Минцифры. При этом доступа к внутренним данным портала у багхантеров не было, подчеркнули в ведомстве.

“Участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга, чтобы их нельзя было использовать для взлома”, — говорится в отчете.

“Готовность госучреждений публично проверять безопасность своих сервисов — важный шаг в построении по-настоящему надёжных и эффективных систем информационной безопасности”, — комментирует итоги проекта руководитель направления багбаунти Standoff 365 Анатолий Иванов.

Эксперт выразил надежду, что Минцифры станет примером для других организаций.

“Разместив программу на нашей платформе, министерство показало готовность и зрелость госструктур для багбаунти, — соглашается директор департамента анализа защищённости и противодействия мошенничеству, директор по стратегии BI.ZОNE Евгений Волошин. — За это короткое время ведомство уже смогло проверить многие ресурсы и повысить их защищённость”.

В Минцифры уже пообещали продолжать подобные эксперименты, а также расширить действие программы на другие ведомства.

Следующая главная новость »

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!

Яков Шпунт 21 Апреля 2026 - 09:15

Домашние пользователи Персональный VPN Анонимайзеры

Компании, предоставляющие платный доступ к VPN-сервисам, начали активно — а в ряде случаев и довольно агрессивно — призывать пользователей оформлять долгосрочные подписки. В качестве аргумента они указывают на риск скорой блокировки оплаты с российских банковских карт. Однако реакция рынка и аналитиков на такие заявления остаётся неоднозначной.

По мнению некоторых источников портала «Код Дурова», такая кампания может быть попыткой искусственно подогреть спрос. Это связывают с планируемым запретом на размещение VPN-сервисов на российских хостинговых площадках.

Вероятность принятия этой нормы оценивается как высокая, а её возможным последствием может стать прекращение работы таких сервисов и потеря денег пользователями.

Генеральный директор информационно-аналитического агентства TelecomDaily Денис Кусков в интервью НСН не исключил, что россияне действительно могут лишиться возможности оплачивать платные VPN с российских карт. По его словам, такие ограничения власти при желании способны ввести достаточно быстро:

«Это вполне реально. Если компания не представлена в России, то вполне возможно, что она не сможет принимать платежи. Это может произойти очень быстро. Часть людей использует бесплатный VPN, часть – платный. Поэтому тем, кто делает это платно, надо просто предусмотреть возможные риски. По аналогии с запретом оплаты Apple ID с двух российских мобильных операторов, это произошло достаточно быстро, практически в течение недели. Поэтому это может быть и в течение нескольких дней, а может – недель и месяцев».

При этом, как сообщает «Код Дурова», несмотря на то что многие процессинговые сервисы уже прекратили проводить оплату VPN в России, часть таких платежей по-прежнему проходит — например, если они маскируются под покупки в интернет-магазинах или под услуги, формально не связанные с предоставлением зашифрованных туннелей.