За 3 месяца работы пилотирования национальной площадки BugBounty было получено 173 отчета об уязвимостях от исследователей не только Казахстана, но ещё из России и Малайзии. Из них выделяем следующих исследователей, которые вошли в текущий рейтинг топ-10:
Независимый казахстанский исследователь под ником k1r (Кирилл Мурзин) сдал порядка 10 уязвимостей Электронного правительства egov.kz. Исследователь под ником shell (Павел) сдал критическую уязвимость, влияющую на практически любой домен в национальной зоне .kz
Наша платформа является абсолютно новой в Казахстане, но к нам регулярно поступают предложения участия на площадке от разных частных компаний и инициативы по поддержке проекта. Запуск BugBounty площадки показал, что многие государственные и частные информационные системы легко подвержены уязвимостям. Как пример, демонстрируем первый публичный отчет Исследователя под никнеймом kombat, который обнаружил критичную уязвимость «Bypass Authorization in Admin panel» на информационной системе zerde.gov.kz. На данный момент уязвимость устранена. В описании отчета указаны следующие этапы эксплуатации уязвимости:
Переходим на сайт https://zerde.gov.kz
После в строке URL дописываем путь к файлу php.php, https://zerde.gov.kz/php.php и возвращаемся назад к главной странице
В результате при возврате на главную страницу получаем доступ в административную панель сайта.
Возможно это была «закладка» от предыдущего разработчика веб-ресурса, возможно ресурс был взломан давно и злоумышленник оставил для себя бэкдор.
В рамках функционирования нашей площадки мы обнаружили, что этот пример не единственный. В связи с этим, сейчас идут обсуждения совместно с МЦРИАП РК о создании нормативно-правового обеспечения BugBounty площадки, которое будет обязывать участие государственных систем в программе BugBounty на законодательном уровне. Данная инициатива необходима для выявления актуальных уязвимостей в информационных системах участников и получения возможности их своевременного устранения.
Мы ежедневно получаем отчеты с уязвимостями от исследователей и каждый отчет проверяется нашей командой специалистов безопасности. Весь процесс состоит из принятия отчета, проработки и подтверждения наличия узвимостей, уведомления владельцов ресурсов о наличии уязвимостей на их системах и ожидания от них ответов. Процесс занимает немалое количество времени и на разных этапах скорость обработки не зависит от нас, поэтому просим багхантеров проявить терпение и отнестись с пониманием.