Хто ми?
Ми - команда експертів, яка реалізує проект міжнародної технічної допомоги “Підтримка ЄС України у відновленні її економіки (EU SURE)” № 3418 (бенефіціар - Міністерство економічного розвитку і торгівлі України), об’єднані у ГО “Офіс ефективного регулювання” (ЄДРПОУ 40175089) (надалі - BRDO). Ми здійснюємо розробку пілотних державних сервісів, що знаходяться у дослідній експлуатації: regulation.gov.ua inspections.gov.ua (надалі - “Сервіси”).
Про сервіси
Платформа ефективного регулювання regulation.gov.ua містить унікальні сервіси, що відзначені нагородами, які допомагають підприємцям відкрити легальний бізнес, державним службовцям приймати більш якісні рішення у сфері формування державної політики, та заінтересованим сторонам домовлятися про нові правила на ринках. Так, сервіс StartBusinessChallenge regulation.gov.ua/startup надає користувачам покрокові персоналізовані інтерактивні інструкції по відкриттю та веденню 26 видів бізнесу.
Пілотний модуль інтегрованої аналітичної системи державного нагляду (контролю) inspections.gov.ua вперше в історії України об’єднує всі інспекційні органи в Україні у єдину онлайн систему, де плануються всі перевірки, а також відображатиметься результат кожної перевірки. Інформація про заплановані перевірки та про результати перевірок публікується онлайн, буде публікуватися у вигляді відкритих даних, та стане необхідною основою для побудови ризико-орієнтованого підходу, де інспектори будуть боротися не з недотриманням вимог законодавства, а з пожежами.
Мета оферти
Державні сервіси - одна з головних мішеней для ворожих хакерів. Вони не бояться кримінального переслідування, бо часто знаходяться за кордоном. Їм не потрібен дозвіл, щоб нанести шкоду українським громадянам. При цьому, українські дослідники зараз не можуть без письмових документів з державними структурами законно здійснювати пошук вразливостей у державних сервісах.
Метою цієї оферти є поліпшення захищеності Сервісів шляхом надання дозволу та залучення фахівців до пошуку вразливостей.
Умови участі
Участь у дослідженні сервісів на вразливість (далі - Дослідження) є вільною та добровільною. Дослідник не має отримувати будь-які попередні дозволи та погодження, при умові дотримання вимог цієї публічної оферти. За умови дотримання положень цієї публічної оферти Дослідження є суспільно корисною справою та не може вважатись правопорушенням чи злочином.
У разі переслідування Дослідників, які не порушують умови цієї публічної оферти, правоохоронними органами, BRDO надасть докази невинуватості.
Область дії
Дозвіл щодо здійснення дослідження вразливостей поширюється виключно на такі домени, що знаходяться у розпорядженні BRDO:
- regulation.disclosure.brdo.com.ua 185.9.41.54
- tools.regulation.disclosure.brdo.com.ua 185.9.41.54
- cdn.regulation.disclosure.brdo.com.ua 185.9.41.54
- admin.regulation.disclosure.brdo.com.ua 185.9.41.54
- images.regulation.disclosure.brdo.com.ua 185.9.41.54
- inspections.disclosure.brdo.com.ua 185.9.41.54
- admin.inspections.disclosure.brdo.com.ua 185.9.41.54
- cdn.inspections.disclosure.brdo.com.ua 185.9.41.54
- призначені для Дослідження
- не містять конфіденційної інформації чи персональних даних
- не призначені для використання звичайними користувачами
Пріоритети для Дослідження
Ця Програма використовує стандартні положення BugCrowd Vulnerability Rating Taxonomy для визначення рівня ризику знайдених вразливостей. BRDO найбільше зацікавлений в отриманні звітів щодо таких вразливостей:
- Remote Code Execution
- SQL Injection
- Cross-Site Scripting
- Cross-Site Request Forgery
- Authentication Bypass
- Privilege Escalation
Звіт
Після знаходження вразливості, Дослідник повинен направити звіт на електронну адресу: disclosure@brdo.com.ua
Звіт може бути оформлений у довільній формі та містити таку інформацію:
- Назва вразливості;
- Класифікація вразливості згідно з BugCrowd Vulnerability Rating Taxonomy;
- Суб’єктивна оцінка рівня ризику вразливості;
- Демонстрація вразливості;
- Опис кроків з відтворення вразливості;
- HTTP-сесії, що демонструють вразливість;
- Знімки екрану, що демонструють вразливість.
Команді BRDO буде приємно, якщо Ви додасте:
- пояснення щодо рівня ризику
- відео-демонстрацію відтворення вразливості
Умова отримання винагороди
BRDO здійснює фіксацію та публікацію усіх вразливостей, які були знайдені Дослідниками. Опублікування інформації про вразливість відбувається після її усунення або протягом 30 днів з моменту повідомлення BRDO про таку вразливість.
За бажанням Дослідника, BRDO розміщає інформацію про нього на regulation.gov.ua/hall-of-fame та\або на inspections.gov.ua/hall-of-fame (дані сторінки будуть створені після перших підтверджених повідомлень).
Отримання винагороди можливе за таких умов:
- Винагороду отримає перший Дослідник, який повідомив про вразливість.
- Вразливість повинна існувати в актуальній версії системи.
- Дослідник повинен надати фактичні докази існування вразливості (Proof of Concept) у формі текстового опису кроків відтворення вразливості, порцій мережевого трафіку або HTTP сесій, знімків екрану та/або відео демонстрації.
- Дослідник повинен повідомити про вразливість власнику системи та дотриматися умов відповідального розкриття інформації: публічне розкриття інформації про вразливість дозволяється лише після її виправлення власником.
- Дослідник повинен надати додаткові відомості про вразливість, які можуть знадобитися власнику системи для її виправлення. Також, Дослідник повинен здійснити перевірку виправлення вразливості в разі отримання такого звернення від власника системи.
- Дослідник повинен додержуватися норм етичної поведінки: використовувати лише тестові облікові записи або облікові записи, що належать Досліднику, а також утримуватися від отримання доступу до чутливих даних та облікових записів інших користувачів.
- Дослідникам забороняється здійснювати атаки відмови в обслуговуванні (DoS/DDoS) на системи в Області дії, а також використовувати системи автоматичного тестування, які генерують масивні об’єми мережевого трафіку та можуть вплинути на працездатність систем.
Працівники Офісу ефективного регулювання та інші особи, які могли брати участь в розробці та підтримці систем в Області дії, мають право брати участь у Дослідженнях, проте не отримають винагороду згідно цієї публічної оферти.
Ми працюємо над залученням фінансування для організації грошової винагороди, та наразі учасники Програми можуть розраховувати на нематеріальну та/або символічну винагороду за перевірені вразливості, знайдені в системах в Області дії.
Форма винагороди: офіційна подяка від імені Міністерства економічного розвитку і торгівлі України та/або внесення імені або псевдоніму учасника у Зал слави Програми на офіційному веб-сайті системи (regulation.gov.ua/hall-of-fame та\або http://inspections.gov.ua/static/hall-of-fame. Дані сторінки будуть створені після перших підтверджених повідомлень).
