Як працює Bug Bounty в Prozorro? Інтерв'ю з багхантером Антоном Коржиньским
Bug Bounty — програма, де етичні хакери полюють на вразливості у Prozorro. Вони шукають слабкі місця в електронній системі, аби їх можна було вчасно закрити. За кожну знайдену вразливість отримують винагороду.
Такі програми давно стали стандартом для Google, Facebook чи Amazon, але для державних структур, тим паче українських, це досі виняток. Prozorro — одне з перших держпідприємств, яке запустило власне Bug Bounty. Програму започаткували ще до повномасштабного вторгнення, а у 2023-му відновили, щоб підсилити оборону проти кібератак.
Як білі хакери потрапляють у цю сферу, що їх мотивує працювати не на великі корпорації, а на державу? Чи не виникає спокуси продати знайдену вразливість комусь іншому — наприклад, за кордон? Які навички потрібні? І які проєкти в державному секторі для них справді престижні? SPEKA поспілкувалась зі CTO BugStream, багхантером Антоном Коржиньским.
Як влаштована Bug Bounty для Prozorro? Які є відмінності залежно від типу організації?
Bug Bounty для Prozorro — це програма, яка залучає спільноту етичних/білих хакерів до пошуку вразливостей у системі електронних публічних закупівель. Кожен багхантер працює по-своєму: має власний рівень технічної підготовки, методологію та підходи, що суттєво підвищує шанси виявити широкий спектр потенційних вразливостей.
Особливість програми полягає в тому, що тестування проводиться не в продуктивному середовищі, а у спеціально створеній тестовій зоні (staging area), яка максимально точно відтворює реальну систему, але не містить справжніх даних. Окрім центральної системи Prozorro, тестуванню також підлягають авторизовані електронні майданчики.
Як ви потрапили у BugBounty?
Я прийшов у Bug Bounty цілком природно. Спочатку працював програмістом і багато уваги приділяв безпеці коду, розумів, які типові помилки призводять до вразливостей. Коли на заході почали з’являтися перші Bug Bounty-платформи, одразу приєднався, щоб перевірити свої знання на практиці. Це виявилося дуже захопливо, і з часом я регулярно потрапляв у топ рейтингу. Згодом зацікавився українськими програмами, особливо ПриватБанком. Для багатьох саме з нього почалася історія пошуку вразливостей в Україні.
Які ролі та обов'язки членів команди, що працює з виявленими вразливостями (наприклад, ті, хто знаходить, аналізує, виправляє)?
У роботі з вразливостями зазвичай залучено кілька команд із чітко визначеними ролями:
Багхантери — фахівці з кібербезпеки, які шукають, знаходять і звітують про вразливості. Вони діють у межах визначених правил програми, використовуючи як автоматизовані, так і ручні підходи до аналізу.
Тріаж-команда відповідає за верифікацію звітів, відсіювання дублікатів, визначення ступеня критичності та налагодженні комунікації з багхантерами. У випадку Bug Bounty для Prozorro це технічна команда BugStream.
Технічні фахівці Prozorro та майданчиків — експерти з кібербезпеки, які проводять додаткову валідацію вразливостей і погоджують їхню критичність на основі внутрішнього контексту системи.
Розробники та DevOps відповідають за виправлення уразливостей. Їхнє завдання — оперативно усунути дефекти без шкоди для працездатності системи.
І, нарешті, координатор або власник платформи, який відповідає за долучення до Bug Bounty програми спільноти багхантерів, стратегічне управління програмою, юридичний супровід, розроблення політик, визначення розмірів винагород та зв’язок з держсектором або приватними замовниками. Таким координатором в Bug Bounty програмі для Prozorro виступає команда BugStream. Це наразі єдина українська платформа, тому інших українських команд не існує. Можливо, в окремих компаніях діють внутрішні закриті команди, які проводять власні багбаунті-програми, але нам про них не відомо.
Які ключові навички необхідні для кожної з цих ролей?
Ресьорчер повинен мати глибокі технічні знання, зокрема правил веббезпеки, мережевої архітектури, API-логіки та вразливостей типу OWASP Top 10 (список десяти найкритичніших ризиків веб-безпеки, що визначається міжнародною організацією OWASP та допомагає усувати найпоширеніші вразливості веб-додатків). Вміти створювати якісні PoC (демонстрація працездатності вразливості для підтвердження її життєздатності чи ефективності), писати звіти та орієнтуватися в нетривіальній логіці.
Тріаж-команда має володіти навичками швидкої та точної оцінки технічної інформації, бути системною, комунікабельною та вміти ефективно координуватися, адже вона виступає «містком» між багхантерами та командами замовника програми.
Координатор програми повинен поєднувати стратегічне мислення, правову та технічну грамотність, навички кризового менеджменту, а також глибоке розуміння кібербезпеки на системному рівні.
Якісь найбільші виклики та складнощі у вашій роботі?
Іноді на одну-єдину вразливість йдуть тижні. Здається, вона вже зовсім поруч, все наче сходиться, але щось не працює. І ти повертаєшся до неї знову і знову, ніби застряг. Буває, ідея приходить посеред ночі: прокидаєшся, вмикаєш ноутбук, тестуєш — і нарешті все спрацьовує. А потім засинаєш прямо за столом, задоволений, ніби після розв'язання складної головоломки.
Запам’яталась одна нетипова ситуація. Компанія попросила довести серйозність знайденої вразливості. У результаті довелося демонструвати атаку наживо під час Zoom-дзвінка з їхнім керівництвом. Усі помітно напружились, коли payload спрацював прямо у браузері керівника з інформаційної безпеки. Але після цього була дуже предметна розмова і щира вдячність за знахідку.
Підписуйтеся на наші соцмережі
Які основні відмінності роботи з Bug Bounty в державному секторі (на прикладі Prozorro) порівняно з комерційним?
На відміну від комерційних компаній, де рішення приймаються швидко та гнучко, у державних проєктах велике значення має формалізація процесів та суворе дотримання нормативних вимог. Тут діє більше юридичних обмежень, регламентів і протоколів, зокрема пов’язаних із тендерними процедурами та необхідністю отримувати додаткові погодження.
Впровадження програм для пошуку та виявлення потенційних вразливостей набуває в Україні особливого значення у зв’язку з оновленими законодавчими вимогами. Нові зміни визначають формування прозорого, врегульованого порядку виявлення вразливостей, що включає організацію платних або безоплатних ініціатив для залучення незалежних експертів до процесу захисту державних та критичних інформаційних ресурсів.
Що мотивує фахівців з комерційного IT переходити до співпраці з державним сектором у сфері кібербезпеки?
Головна мотивація – можливість впливати на безпеку суспільства. Йдеться не про гроші чи новий проєкт, а про сенс і внесок у захист критичних сервісів для мільйонів громадян. Державні проєкти часто ставлять унікальні виклики, відсутні у комерційному секторі, наприклад, створення архітектури безпеки з нуля для системи, що охоплює всю країну. Крім того, це потужний репутаційний крок — фахівець здобуває досвід, який важко отримати в аутсорсі або продуктових компаніях.
Які переваги пропонує робота з державою порівняно з комерційними компаніями?
Співпраця з державою відкриває можливість розв'язувати реальні проблеми національної безпеки, підвищує репутацію через участь у суспільно значущих проєктах, а також забезпечує прозорість і визнання на офіційному рівні, що може бути вагомою перевагою порівняно з комерційними компаніями. Якщо ви захищаєте Prozorro, то ви фактично захищаєте бюджет країни.
На вашу думку, які організації чи проєкти в державному секторі є найбільш престижними або цікавими для роботи білого хакера?
Окрім Prozorro, де кожна вразливість може мати величезний фінансовий вплив на держбюджет, цікавим проєктом є «Дія» — цифровий фронт держави, який потребує безперебійного захисту. Також варто відзначити ДССЗЗІ (CERT-UA), НАЗК, НКЦК, державні реєстри та електронні бази даних, податкові, митні та фінансові системи, платформи електронного правосуддя, інформаційні ресурси електронного урядування. Ці проєкти не лише технічно складні, а й критично важливі для функціонування держави.
Опишіть типовий робочий день білого хакера: які основні задачі ви виконуєте?
Робочий день починається з перегляду цілей програми та ознайомлення з новими оновленнями в продуктах. Далі відбувається аналіз DNS-записів, збір відкритих даних, перевірка нових доменів і піддоменів.
Після цього починається активна фаза тестування — це може бути як ручна перевірка логіки, так і використання інструментів, таких як Burp Suite, ffuf чи інших. Кожна знайдена вразливість документується, створюється PoC, описується ризик та надсилається звіт.
Паралельно впродовж дня триває комунікація з тріаж-командою або іншими багхантерами, обмін думками, участь у внутрішніх чатах чи форумах.
Які ключові навички та знання є критично важливими для успішного виконання роботи білого хакера?
Критично важливими є глибокі знання протоколів, таких як HTTP, HTTPS, TLS, а також типових механізмів автентифікації — JWT, OAuth. Важливо розуміти веб-архітектури (frontend, backend, API) і мати здатність мислити нестандартно.
Особливе значення має розуміння логіки бізнес-процесів, що допомагає виявляти логічні уразливості, які не охоплюють сканери.
Також необхідно вміти працювати з інструментами типу Burp Suite, nmap, ffuf, Interactsh, recon-ng, а також писати власні скрипти для автоматизації.
Не менш важливі soft skills — вміння чітко комунікувати, аргументувати оцінку ризиків і створювати якісні звіти.
Як ви вдосконалюєте свої навички у сфері кібербезпеки?
Зростання потребує постійної практики. а вивчаю нові протоколи та технології. Дуже корисним є аналіз чужих звітів на платформах Bug Bounty, читання технічних блогів, виконання лабораторних завдань від PortSwigger та інших ресурсів.
Важливо також проводити власні дослідження — наприклад, аналізувати API нових технологій, мобільних застосунків або браузерних розширень. Читання RFC та участь в обговореннях у професійних спільнотах допомагає залишатися в курсі актуальних тем.
В Україні створено федерацію військово-технологічного спорту, яка організовує змагання з кібербезпеки (CTF-змагання). Вони дають учасникам можливість вдосконалювати свої навички на практиці.
Окрім іноземних проєктів, в Україні активно функціонують і розвиваються національні кіберполігони, такі як UnitRange і CyberRangeUA — інноваційні платформи, які дозволяють українським спеціалістам тренуватися та вдосконалювати навички протидії кіберзагрозам у максимально наближених до реальних умовах.
Чи були випадки, коли білим хакерам пропонували неправомірну винагороду за "злив" даних?
Так, такі ситуації трапляються. Особливо це актуально під час роботи з державними системами або великими компаніями, де інформація має високу цінність. Іноді багхантерам пропонують обійти офіційну програму винагород або навіть відкрито закликають передати дані третім сторонам — наприклад, платформам, які скуповують вразливості. Зазвичай вразливості скуповують приватні компанії, як-от Zerodium, які можуть мати зв’язки з урядами різних країн, зокрема США. Формально цього ніхто не підтверджує і не спростовує, але саме такі структури найчастіше платять найбільше. Іноді суми сягають десятків мільйонів доларів.
Як, на вашу думку, варто діяти в таких ситуаціях?
У подібних випадках найкраще — зафіксувати факт контакту: зробити скріншоти, зберегти листування. Далі слід повідомити про інцидент платформу та адміністрацію програми. Якщо ситуація виглядає серйозно — варто залучити правоохоронні органи. Дотримання етичних принципів важливе не лише для особистої репутації, а й для безпеки всієї спільноти.
Які найпоширеніші хибні уявлення або стереотипи про професію білого хакера вас найбільше дратують? Як би ви їх спростували?
Одне з найпоширеніших — і водночас найнебезпечніших — хибних уявлень полягає в тому, що хакери обов’язково виглядають як самотні «хлопці в капюшонах», які діють поза межами суспільних норм. Насправді білий хакер — це етичний фахівець, який працює в рамках закону та контрактних зобов’язань, а часто має доступ до критично важливих систем державного рівня.
Інший стереотип — що білий хакер працює виключно з технічним кодом і не впливає на реальний світ. Насправді баг, знайдений ресерчером, може запобігти витоку мільйонів персональних записів або зберегти значні кошти в державному бюджеті, захистивши їх від зловживань.
Також поширена думка, що вразливості можуть знаходити лише ті, хто має десятки років досвіду. Але практика доводить: системне мислення, допитливість і аналітичний склад розуму — набагато важливіші за формальний стаж.
Ці міфи руйнуються тоді, коли хакери публічно виступають, пишуть аналітику й долучаються до відкритої культури безпеки.
Яка "найвища планка" або вершина кар’єри, якої можна досягти в цій професії?
З технічного погляду одна з найвищих вершин — стати дослідником, чиї ідеї змінюють глобальні підходи до кібербезпеки. Це участь в елітних командах на кшталт Google Project Zero, відкриття zero-day вразливостей (таких, які ще ніхто не використовував), виступи на сценах найбільших хакерських конференцій Black Hat чи DefCon, розробка інструментів, що стають галузевими стандартами.
У стратегічному вимірі — це позиції, які дозволяють формувати політику на рівні міжнародних організацій, створювати законодавчі рамки для кіберпростору, впливати на культуру безпеки в урядах і корпораціях. Це може бути роль головного керівника з інформаційної безпеки, керівника команди реагування на комп’ютерні надзвичайні ситуації (група експертів, яка виявляє, аналізує та реагує на кіберінциденти: атаки, злам систем, витоки даних та інші загрози кібербезпеці), радника з кіберстратегії або архітектора стійкості критичної інфраструктури.
Є також підприємницький шлях. Його вершина — це створення технології чи компанії, що змінює саму сутність цифрової безпеки. Як-от платформа HackerOne, продукти на кшталт Shodan чи SentinelOne, або інфраструктурне рішення, яке суттєво знижує ризики для мільйонів людей.
Та найвища точка — не в посаді й не в досягненнях. Вона — у впливі, який ти залишаєш після себе. У моменті, коли твої дії резонують в інших: хтось завдяки тобі вперше знайшов вразливість і не продав її таким компаніям, як Zerodium, а надіслав за програмою Bug Bounty; хтось почав проєктувати безпечні системи, бо читав твої дослідження або слухав твій виступ. Це той рівень, коли твоя робота стає каталізатором змін — у підходах, мисленні, культурі. Коли безпека — вже не просто твоя професія, а спадщина.
У кого з вашої команди найнезвичніший професійний бекграунд?
У нашій команді всі давно працюють в ІТ, тож якихось зовсім нетипових бекграундів немає. Але в Bug Bounty трапляються дуже несподівані історії. Наприклад, Santiago Lopez з Аргентини — перший мільйонер на платформі HackerOne. Він почав ще підлітком, без формальної освіти, вчився самостійно на форумах та онлайн-курсах. Раніше працював кур'єром і не мав жодного стосунку до безпеки. А згодом став одним із найвідоміших багхантерів у світі.
Подібних історій багато. Саме це робить Bug Bounty унікальною сферою, де важливе не те, ким ти був, а як мислиш і наскільки глибоко вмієш копати.
Порада звичайним користувачам: чого б ви ніколи не робили в інтернеті, як хакер?
Як білий хакер і багхантер, можу дати кілька простих, але важливих порад звичайним користувачам. По-перше, не використовуйте один і той самий пароль для кількох сервісів. Якщо зламають один акаунт, зможуть отримати доступ і до решти.
По-друге, ніколи не вводьте особисті дані на сумнівних сайтах, навіть якщо вони виглядають офіційно. Зараз фішингові атаки дуже добре замасковані.
По-третє, не думайте, що вам нічого втрачати. Навіть якщо ви не є ціллю, ваш акаунт можуть використати для атак або шахрайства.
І останнє — завжди вмикайте двофакторну автентифікацію. Це найпростіший і водночас дуже ефективний спосіб захистити свої дані.