VMSA saugumo spragų pranešimų programos konkursas
BUG BOUNTY

Suprasdami sistemų ir vartotojų duomenų saugumo svarbą ir atsižvelgdami į didėjantį kibernetinių atakų skaičių, plėtojame šiuo metu Vilniaus miesto savivaldybės administracijoje (toliau – VMSA) turimą atsakingo spragų atskleidimo programą Hack me if you can ir skelbiame programos „Bug Bounty“ konkursą.

  • Konkurso pradžia – 2023 m. rugpjūčio 23 d.
  • Konkurso trukmė – 10 d. d. pranešimų pateikimui nuo konkurso pradžios paskelbimo.
  • Konkurso tikslas – siekiant VMSA kibernetinio saugumo didinimo, sukurti procesą, suteikiantį galimybę etiškiems saugumo tyrėjams, nepažeidžiant galiojančių teisės aktų, identifikuoti VMSA informacinių sistemų saugumo spragas, apie jas pranešti, šalinti rastus pažeidžiamumus ir už pagrįstus pranešimus skirti prizus Konkurso dalyviams.

Pranešimų teikimo terminas baigėsi.

Dėkojame, kad dalyvavote konkurse!

/* Spragos

Programinės įrangos ir (ar) techninės įrangos ir (ar) internetinės paslaugos pažeidžiamumas, kuris gali būti išnaudotas kibernetinės atakos metu ir kelia grėsmę informacijos saugumui. Vilniaus miesto savivaldybės administracija rūpinasi vartotojų duomenų ir ryšių saugumu, tad siekiant paskatinti atsakingą saugumo spragų atskleidimą, mes nesiimame teisinių veiksmų prieš asmenis, kurie atskleidžia spragas pagal šiame puslapyje pateiktas sąlygas.

/* Konkurso dalyviai

Fiziniai asmenys, ne jaunesni kaip 18 metų, pasirašę Konkurso dalyvio konfidencialumo pasižadėjimą arba nepilnamečiai nuo 14 iki 18 metų, pateikę tėvų (rūpintojų) rašytinį sutikimą bei pasirašę Konkurso dalyvio konfidencialumo pasižadėjimą, ir už konkurso ribose nustatytą atlygį identifikuojantys spragas Konkurso ribose.

# Susipažinti su Konkurso dalyvio teisėmis ir pareigomis;

Saugumo spragų pranešimo konkurso dalyvis negali būti:

  • Pažeidęs įstatymų ir teisės aktų;
  • VMSA darbuotojas ar dirbančio asmens artimas šeimos narys, kaip tai apibrėžta Lietuvos Respublikos civilinio kodekso 3.135 straipsnyje;

Exclamation mark VMSA nustačius, kad Konkurso dalyvis pažeidė bent vieną iš Konkurso nuostatuose nurodytų reikalavimų, Konkurso dalyvis pašalinamas iš Konkurso ir netenka teisės gauti prizą.

 

Dalyvavimas konkurse yra savanoriškas ir pateikdami informaciją apie VMSA saugumo spragą, Jūs pripažįstate, kad susipažinote ir sutinkate su konkurso sąlygomis.

/* Konkurso etapai

Konkurso įgyvendinimas susideda iš šių etapų:

1

Konkurso dalyvio registracija ir konfidencialumo pasižadėjimo užpildymas;

2

Pranešimas apie identifikuotą spragą;

3

Pateiktų pranešimų nagrinėjimas ir vertinimas;

4

Konkurso sąlygas atitinkančių pranešimų nustatymas ir prizų skyrimas.

/* Spragų identifikavimo metu draudžiama
  • Trikdyti ir keisti kompiuterinio tinklo, duomenų banko ar informacinės sistemos darbą;
  • Skelbti viešai, platinti ar kitaip dalintis informacija apie aptiktas spragas ir jų aptikimą su trečiosiomis šalimis;
  • Naudoti socialinės inžinerijos atakas ar naudoti kitus saugumo spragų tyrimo būdus, galinčius pabloginti Klientų aptarnavimą;
  • Piktnaudžiauti identifikuota spraga ir daryti poveikį elektroniniams duomenims, juos perimti ir naudoti kitais tikslais;
  • Vykdyti DDoS ir kitas atakas, kurios gali pakenkti ar kitaip daryti įtaką VMSA valdomoms informacinėms sistemoms, paslaugų ar duomenų patikimumui bei vientisumui;
  • Bandyti fiziškai paveikti infrastruktūrą arba bandyti naudoti fizinio poveikio priemones (patekti į patalpas, gadinti techninę įrangą, kt.);
  • Atlikti veiksmus, kurie leistų Konkurso dalyviui ar trečiosioms šalims pasiekti, išsaugoti, sunaikinti ar kitais būdais paveikti VMSA valdomus duomenis;
  • Naudotis aptiktomis spragomis siekiant kitokios, nei numatyta šiuose nuostatuose finansinės naudos ar pažeisti Lietuvos Respublikos teisės aktų reikalavimus.
/* Pranešimų nagrinėjimas ir vertinimas
  • Pranešimus bus galima pateikti iki 2023-09-05 (imtinai).
  • Per 15 darbo dienų nuo pranešimų pateikimo termino pabaigos Konkurso koordinatorius informuos pranešėjus, kurių pranešimai neatitinka konkurso nuostatų reikalavimų.
  • Tinkamai pateikti pranešimai bus vertinami Konkurso komisijoje.
  • Konkurso rezultatai bus paskelbti per 5 darbo dienas nuo laimėtojų sąrašo patvirtinimo.
  • Su kiekvienu laimėjusiu dalyviu bus susisiekta asmeniškai.

 

Daugiau informacijos:

/* Konkurso rezultatai

Konkursas vyko 10 darbo dienų, per šį terminą konkurse užsiregistravo 36 dalyviai ir gauti 35 pranešimai apie potencialias saugumo spragas Vilniaus miesto savivaldybės sistemose.

Iš 36 užsiregistravusių dalyvių 13 buvo aktyvūs, kurie pateikė bent vieną pranešimą, likusieji 23 tik užsiregistravo dalyvauti konkurse, tačiau pranešimų nepateikė.

Konkurso komisija išnagrinėjo visus gautus pranešimus ir juos įvertino pagal pranešimų vertinimo kriterijus. Iš 35 gautų pranešimų prizai skiriami dalyviams dėl 19 gautų pranešimų. Dėl likusių 16 pranešimų prizai nėra skiriami.

Konkurso dalyviams išdalinti prizai nuo 50 iki 500 Eur:

  • 12 prizų po 50 Eur (žemo lygmens saugumo spragos);
  • 5 prizai po 150 Eur (vidutinio lygmens saugumo spragos);
  • 2 prizai po 500 Eur (didelio lygmens saugumo spragos).

Dėkojame konkurso dalyviams ir kviečiame programavimo entuziastus aktyviai dalyvauti konkurse ir ateityje!

Vilniaus meras

Vilniaus istorija – tai visų mūsų istorija. Todėl negalime pamiršti puoselėti tos vienybės ir laisvės dvasios, kuri priklauso mums visiems. Naująjį sostinės puslapį kviečiu rašyti dar plačiau atveriant miesto vartus tiems, kas vadina ir nori vadinti jį namais. ❯❯❯
Darbotvarkė

Savivaldybės prioritetai

  • Kurti ir įgyvendinti miesto strateginę viziją
  • Teikti kokybiškas paslaugas gyventojams
  • Pritraukti į miestą investicijas, kuriančias gerai apmokamas darbo vietas
  • Veikti skaidriai, greitai ir būti atvirai gyventojams, svečiams, investuotojams