Багхантеры нашли на Госуслугах 34 уязвимости

Олеся Афанасьева 19 Мая 2023 - 17:35

Домашние пользователи

Государство

Средства поиска уязвимостей

Средства тестирования на проникновение

Уязвимости программ

...

Багхантеры нашли на Госуслугах 34 уязвимости

Восемь тысяч “белых хакеров”, 34 уязвимости и 350 тыс. рублей максимальной выплаты — Минцифры отчиталось об участие “Госуслуг” на платформах BI.ZОNE Bug Bounty и Standoff 365. Доступа к внутренним данным госпортала у багхантеров не было.

Госуслуги “выставили” на bug bounty в феврале этого года. Публичные программы по поиску уязвимостей запустили сразу на двух платформах — BI.ZОNE Bug Bounty и Standoff 365.

За три месяца в эксперименте приняли участие более 8,4 тыс. багхантеров, рассказали в Минцифры. За критическую уязвимость “белым хакерам” обещали до 1 млн рублей, за мелкие баги — мерч с символикой проекта. Спонсировал программу “Ростелеком”.

В итоге максимальная выплата за найденный баг составила 350 тыс. рублей, минимальная — 10 тыс. рублей, отчитались в Минцифры. Всего было обнаружено 34 уязвимости, большинство из которых — со средним и низким уровнем критичности.

Общую сумму потраченных денег озвучивать не стали.

Всего в поисках уязвимостей на “Госуслугах” успели поучаствовать

8,4 тыс. багхантеров. Средний возраст — 28 лет. Самому взрослому энтузиасту было 55 лет, самому юному — 17.

Работа исследователей помогла улучшить систему безопасности Госуслуг, признают в Минцифры. При этом доступа к внутренним данным портала у багхантеров не было, подчеркнули в ведомстве.

“Участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга, чтобы их нельзя было использовать для взлома”, — говорится в отчете.

“Готовность госучреждений публично проверять безопасность своих сервисов — важный шаг в построении по-настоящему надёжных и эффективных систем информационной безопасности”, — комментирует итоги проекта руководитель направления багбаунти Standoff 365 Анатолий Иванов.

Эксперт выразил надежду, что Минцифры станет примером для других организаций.

“Разместив программу на нашей платформе, министерство показало готовность и зрелость госструктур для багбаунти, — соглашается директор департамента анализа защищённости и противодействия мошенничеству, директор по стратегии BI.ZОNE Евгений Волошин. — За это короткое время ведомство уже смогло проверить многие ресурсы и повысить их защищённость”.

В Минцифры уже пообещали продолжать подобные эксперименты, а также расширить действие программы на другие ведомства.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 12 Февраля 2026 - 12:15

Корпорации Средства поиска уязвимостей Средства управления информационной безопасностью Управление киберрисками (Cyber Risk Management)Соответствие требованиям регуляторов F6

F6 запустила сервис активного сканирования для проверки на уязвимости

Компания F6 сообщила о запуске сервиса активного сканирования в составе решения F6 Attack Surface Management (ASM). Новый модуль под названием F6 ASM TRY предназначен для проверки внешнего периметра организаций с имитацией поведения реальных атакующих.

В отличие от пассивного анализа, который опирается на OSINT, исторические данные и открытые источники, активное сканирование предполагает прямое взаимодействие с инфраструктурой компании.

Сервис инициирует запросы к цифровым активам, выявляет открытые порты, доступные сервисы, уязвимости и потенциальные точки входа. При необходимости возможен углублённый анализ, чтобы уточнить контекст и понять, есть ли признаки вредоносной активности.

По данным F6, в начале 2026 года в инфраструктурах российских компаний в среднем выявляется 425 критических проблем. Чаще всего речь идёт о небезопасных конфигурациях серверов и устаревшем программном обеспечении.

Среднее количество цифровых активов на одну организацию — 4614. Такой масштаб сам по себе создаёт риски: любой забытый сервис или неконтролируемый хост может стать отправной точкой атаки, особенно если инфраструктура растёт быстрее, чем обновляется документация и процессы контроля.

F6 ASM TRY позволяет специалистам по ИБ проверять устойчивость инфраструктуры ко внешним атакам на практике: проводить брутфорс-проверки протоколов, сканировать порты, искать открытые директории, а также тестировать эксплуатацию найденных уязвимостей, в том числе с использованием собственного кода.

По заявлению разработчика, сканирование проводится в контролируемом режиме, не нарушает работу исследуемых ресурсов и выполняется только с согласия организации.

В F6 отмечают, что сочетание пассивного мониторинга и активного тестирования даёт более полное понимание состояния внешнего периметра. Сервис уже зарегистрирован в Едином реестре российского ПО как часть решения F6 Attack Surface Management.

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!