Багхантеры нашли на Госуслугах 34 уязвимости

Олеся Афанасьева 19 Мая 2023 - 17:35

Домашние пользователи

Государство

Средства поиска уязвимостей

Средства тестирования на проникновение

Уязвимости программ

...

Багхантеры нашли на Госуслугах 34 уязвимости

Восемь тысяч “белых хакеров”, 34 уязвимости и 350 тыс. рублей максимальной выплаты — Минцифры отчиталось об участие “Госуслуг” на платформах BI.ZОNE Bug Bounty и Standoff 365. Доступа к внутренним данным госпортала у багхантеров не было.

Госуслуги “выставили” на bug bounty в феврале этого года. Публичные программы по поиску уязвимостей запустили сразу на двух платформах — BI.ZОNE Bug Bounty и Standoff 365.

За три месяца в эксперименте приняли участие более 8,4 тыс. багхантеров, рассказали в Минцифры. За критическую уязвимость “белым хакерам” обещали до 1 млн рублей, за мелкие баги — мерч с символикой проекта. Спонсировал программу “Ростелеком”.

В итоге максимальная выплата за найденный баг составила 350 тыс. рублей, минимальная — 10 тыс. рублей, отчитались в Минцифры. Всего было обнаружено 34 уязвимости, большинство из которых — со средним и низким уровнем критичности.

Общую сумму потраченных денег озвучивать не стали.

Всего в поисках уязвимостей на “Госуслугах” успели поучаствовать

8,4 тыс. багхантеров. Средний возраст — 28 лет. Самому взрослому энтузиасту было 55 лет, самому юному — 17.

Работа исследователей помогла улучшить систему безопасности Госуслуг, признают в Минцифры. При этом доступа к внутренним данным портала у багхантеров не было, подчеркнули в ведомстве.

“Участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга, чтобы их нельзя было использовать для взлома”, — говорится в отчете.

“Готовность госучреждений публично проверять безопасность своих сервисов — важный шаг в построении по-настоящему надёжных и эффективных систем информационной безопасности”, — комментирует итоги проекта руководитель направления багбаунти Standoff 365 Анатолий Иванов.

Эксперт выразил надежду, что Минцифры станет примером для других организаций.

“Разместив программу на нашей платформе, министерство показало готовность и зрелость госструктур для багбаунти, — соглашается директор департамента анализа защищённости и противодействия мошенничеству, директор по стратегии BI.ZОNE Евгений Волошин. — За это короткое время ведомство уже смогло проверить многие ресурсы и повысить их защищённость”.

В Минцифры уже пообещали продолжать подобные эксперименты, а также расширить действие программы на другие ведомства.

Следующая главная новость »

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Июня 2026 - 08:39

Домашние пользователи Защита от мошенничества

Мошенникам в WhatsApp усложнили первый контакт

Мошенникам в WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) станет немного сложнее. Мессенджер начал внедрять новую функцию безопасности для Android и iPhone: теперь перед открытием переписки с незнакомым номером пользователь увидит предупреждение с дополнительной информацией о собеседнике.

Если номер не входит в список доверенных контактов, WhatsApp покажет, в какой стране он зарегистрирован, сохранён ли он в адресной книге и есть ли у вас общие группы.

После этого можно либо продолжить общение, либо отменить открытие чата. При этом собеседник не узнает, что вы отказались от переписки.

На первый взгляд нововведение, о котором рассказывает WABetaInfo, выглядит незначительным, но именно на спешку обычно и рассчитывают мошенники. Классическая схема начинается с сообщения вроде «Привет, это мой новый номер» или просьбы срочно связаться. Пользователь открывает чат автоматически, не задумываясь, а дальше включается социальная инженерия.

Теперь WhatsApp пытается дать человеку несколько дополнительных секунд на размышление. Например, если старый знакомый внезапно пишет с номера, зарегистрированного в другой стране, это уже повод насторожиться и перепроверить информацию.

Ранее в WhatsApp уже появились механизмы защиты от мошеннических схем. Однако они срабатывали уже во время атаки. Новое предупреждение работает ещё раньше, до того, как пользователь вообще начнёт переписку.

Разработчики подчёркивают, что функция не является универсальной защитой. Если мошеннический номер уже сохранён в контактах, предупреждение может не появиться. И наоборот, незнакомый номер далеко не всегда означает попытку обмана (человек действительно мог сменить телефон).

Поэтому главный совет остаётся прежним: если сообщение кажется подозрительным, не торопитесь продолжать разговор. Лучше позвонить человеку по старому номеру или уточнить информацию через общих знакомых. Пара лишних минут проверки может сэкономить куда больше времени, денег и нервов.

Новая функция постепенно становится доступна пользователям WhatsApp на iOS и Android.

Ранее мы писали, что киберпреступники развернули новую международную кампанию через WhatsApp, используя взломанные аккаунты пользователей для распространения вредоносных файлов.

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!