Bug Stream

19/12/2025

«Білим» хакерам дали зелене світло. Що це означає на практиці?

Постанова КМУ №1580 та зміни до постанови №497, розроблені Державна служба спеціального зв'язку та захисту інформації України, фактично змінюють модель поводження з вразливостями в Україні. Кібербезпека державних і критичних систем перестає бути внутрішньою справою державних організацій або критично важливих підприємств.

1️⃣ Легалізовано пошук вразливостей без згоди власника.

«Білі» (етичні) хакери отримали право тестувати цифрові ресурси без попереднього дозволу власника системи — за умови:
без втручання в роботу системи;
без експлуатації вразливостей.

2️⃣ Вразливості більше не можна «пересидіти»

Нові правила вводять постійний контроль:
- власники державних і критичних систем зобов’язані забезпечувати регулярний пошук вразливостей;
- CERT-UA та CSIRT ведуть централізовані реєстри, аналізують вплив і публікують інформацію;
- Держспецзв’язку та СБУ надають обов’язкові до виконання вимоги;
- ДЦКЗ Держспецзв’язку проводить планові й позапланові сканування.

3️⃣ Зростають ризики для власників систем.

Нереагування або затягування може трактуватись як порушення базових вимог кіберзахисту.
Відсутність регулярних тестувань створює операційні та репутаційні ризики, особливо в умовах посиленого державного контролю.
Найгірша стратегія — чекати, поки проблему знайдуть за вас.

4️⃣ Чому діяти на випередження — єдиний раціональний варіант

Україна переходить до моделі публічної відповідальності за стан інформаційної безпеки:
- тестування можливе без згоди власника;
- інформація про вразливості акумулюється та поширюється;
- держава активніше сканує ресурси.

У цій моделі виграють ті, хто впроваджує тестування:
- Pe*******on Testing;
- — постійні програми за винагороду;
- — короткострокові хакатони;
- (Vulnerability Disclosure Program) — узгоджене розкриття вразливостей.

Ці інструменти дозволяють знайти й виправити проблеми до того, як у процес втрутяться регулятори.

5️⃣ Це вже працює на практиці

У 2024–2025 роках програми скоординованого виявлення вразливостей проводились для державного сектору:
- DOT-Chain DOT - Державний оператор тилу;
- державних реєстрів;
- системи НБУ;
- Prozorro та авторизованих майданчиків СМАРТТЕНДЕР, Etender - державні та комерційні торги - Prozorro, Prozorro.Продажі, Комерційні та державні закупівлі України - Zakupivli.Pro (на постійній основі з 2019 року).

Джорж Папарига, член Інституту дослідження кібервійни, розповідає, що зміниться після нової урядової постанови, що дозволяє тестувати системи на вразливості без з...

18/12/2025

Bug Bounty як інструмент національної стійкості

У публікації експерта з кібербезпеки Сергій Демедюк акцентовано увагу на необхідності законодавчо закріпити регулярну роботу незалежних "red teams" для критичної інфраструктури та виборчих процесів у західних країнах.
Це не теоретична дискусія, а практичний механізм захисту, орієнтований на випередження реальних загроз.
Bug bounty програми безпосередньо відповідають цій логіці - вони забезпечуєють раннє та безперервне виявлення вразливостей — до того, як вони будуть використані в кібератаках або гібридних операціях.
______
Bug Bounty as a Tool of National Resilience

In a recent publication, cybersecurity expert Serhii Demediuk highlights the need to legally establish the regular operation of independent red teams for critical infrastructure and electoral processes across Western countries.
This is not a theoretical debate, but a practical security mechanism focused on anticipating and mitigating real-world threats.
Bug bounty programs align directly with this approach: they enable early and continuous identification of vulnerabilities — before those weaknesses are exploited in cyberattacks or hybrid operations.

Сергій Демедюк заявив, що Кремль вже використовує штучний інтелект для впливу на електорат країн-союзників України. За його словами, поєднання інформаційних опера...

09/12/2025

Уряд врегулював програми скоординованого виявлення вразливостей (Bug Bounty, Bug Bash та VDP).

Очікуємо на пожвавлення таких програм серед власників/розпорядників інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, а також об’єктів критичної інформаційної інфраструктури.

Наразі такі програми скоординованого пошуку вразливостей функціонують тільки в Prozorro та деяких авторизованих майданчиках.

Уряд легалізував Bug Bounty для державних систем

Кабінет Міністрів України ухвалив постанову від 3 грудня 2025 року № 1580, яка створює правову рамку для залучення «етичних хакерів» до пошуку вразливостей у системах, які обробляють державні інформаційні ресурси та інформацію з обмеженим доступом, а також на об’єктах критичної інформаційної інфраструктури.

Постанова встановлює чіткі правила для взаємодії між державою та спільнотою фахівців з кібербезпеки.

Пошук вразливостей здійснюватиметься за трьома основними напрямами:
▪️CERT-UA, галузеві CSIRT та власники систем на постійній основі здійснюють збір та аналіз інформації про вразливості;
▪️ДЦКЗ Держспецзв'язку проводить планове та позапланове сканування державних вебресурсів на наявність вразливостей, а також пошук вразливостей під час проведення оцінки стану захищеності систем;
▪️залучення зовнішніх дослідників до пошуку вразливостей на визначених умовах.

Деталі – на нашому сайті https://cip.gov.ua/ua/news/uryad-legalizuvav-bug-bounty-dlya-derzhavnikh-sistem

В коментарях також залишимо посилання на постанову Кабінету Міністрів України.

24/11/2025

Як хакери купують товари з 99% знижкою???

Незважаючи на те, що race condition - це стара «історія» у кібербезпеці, вона залишається вкрай небезпечною. Це не питання вразливого фреймворку чи «старого коду», а питання правильного підходу до логіки. Якщо бізнес ігнорує цей ризик — він ставить себе під удар.

Щоб не потрапляти в подібні ситуації і не втрачати кошти з власного бізнесу, варто проводити пентести (pe*******on tests) та впроваджувати bug bounty програми, бо це дає можливість незалежним дослідникам перевіряти ваші ресурси і виявляти вразливості ще до того, як це зроблять зловмисники.

Вадим Тильний з VAPAN COMMUNITY у колонці для AIN розповідає, що таке «стан перегонів» та які інструменти допоможуть перевірити безпеку ваших вебзастосунків перед чорною п...

04/11/2025

програми довели свою цінність не лише у класичному веб-середовищі, а й у сфері .

Claude і витік корпоративних даних: що показала уразливість Code Interpreter?

У Code Interpreter — потужній функції ШІ-моделі Claude — виявили уразливість, яка відкриває шлях до витоку конфіденційної інформації.
Як виявилося, через prompt-injection модель можна змусити зчитати та передати приватні дані користувача або компанії третім особам.

Інцидент перевірили через Bug Bounty-програму — саме незалежні етичні хакери першими помітили, що модель із доступом до коду й мережевих запитів може вийти за межі «пісочниці».
Тобто механізм, створений для тестування та аналітики, може перетворитись на вектор атаки.

Ключові ризики:
• несанкціонований доступ до внутрішніх файлів і даних компанії;
• можливість відправлення цих даних через API-виклики;
• уразливість до маніпуляцій через спеціально сформовані запити (prompt-injection).

Висновок:
Перевірка моделей типу ChatGPT, Claude чи Gemini на надійність має стати стандартом для будь-якої організації, що інтегрує LLM у свої процеси.
Це демонструє новий вектор — AI Bug Bounty, де тестуються не тільки системи, а й поведінка моделі та її sandbox-оточення.

Рекомендації:
• проводьте контрольовані симуляції prompt-injection;
• обмежуйте мережеві можливості інтерпретаторів коду;
• запроваджуйте VDP/Bug Bounty-кампанії для тестування ваших AI-модулів.

15/10/2025

Показова стаття про платформу із закупівель Etender - державні та комерційні торги - Prozorro, Prozorro.Продажі.

E-Tender - один з небагатьох авторизованих майданчиків Прозорро, який на постійній основі бере участь у програмах , яке організовує комнада Bug Stream.

— один із найбільш ефективних механізмів виявлення цифрових вразливостей, особливо для об’єктів критичної інфраструктури, які залишаються у фокусі кібератак.

Координоване залучення багхантерів дозволяє вивести захищеність систем на інший рівень: незалежні експерти з кібербезпеки тестують платформи в режимі, максимально наближеному до дій зловмисників, але з чіткими правилами та юридичними гарантіями.

Для операторів критичної інфраструктури — енергетики, логістики, медицини, фінансових сервісів, державних реєстрів тощо — це не опція, а питання стійкості держави.

Саме тому участь таких платформ як E-tender у програмах Bug Bounty від Bug Stream є показником зрілої безпекової політики і прикладом для інших гравців ринку.

e-Tender — платформа на основі штучного інтелекту, де корпоративні замовники управляють відносинами з постачальниками та отримують вигідні пропозиції

17/09/2025

BugStream на Let IT Be: Маркетплейс цифрових рішень

George Papariga представив нашу Bug Bounty платформу BugStream на Маркетплейсі цифрових рішень, організованому IТ Ukraine Association спільно з Офіс з розвитку підприємництва та експорту та за підтримки UKRSIBBANK BNP Paribas Group.

Цей маркетплейс на порталі Дія.Бізнес створений для того, щоб українські підприємці могли швидко знаходити сучасні цифрові інструменти для розвитку бізнесу: від CRM та фінтех-сервісів до рішень у сфері кібербезпеки.

Bug Stream — українська платформа, яка об’єднує бізнес та спільноту етичних хакерів для виявлення вразливостей через Bug Bounty та Bug Bash програми. Ми переконані, що розвиток цифрової економіки неможливий без надійних та безпечних рішень, а наша місія — допомагати компаніям знаходити критичні вразливості до того, як ними скористаються зловмисники.

Подія стала важливим кроком у промоції українських технологічних рішень і ще раз довела: 🇺🇦 в Україні вже є інноваційні, якісні та безпечні продукти, готові до масштабування.

Дякуємо організаторам за можливість презентувати BugStream і познайомитися з партнерами, які так само працюють над цифровою трансформацією країни.

08/09/2025

Перший Чемпіонату України з технологічного спорту в дисципліні.

6-7 вересня пройшов Перший Чемпіонат України з кібербезпеки. Змагання проходили на українському кіберполігоні UnitRange.

Вітаємо 🏆 переможців:
1. (АР Крим)
2. (Львів)
3. (Київ)

У топ-10 також увійшли: , , &Chill, , , , .

Антон Коржинський, Head of triage team компанії Bug Stream, виступив на панельній дискусії: «Роль кіберком‘юніті в розвитку технологічного спорту», яка проходила в рамках Чемпіонату України.

Антон наголосив, що CTF та Bug Bounty тісно пов’язані: навички, здобуті під час змагань — пошук вразливостей та аналітичне мислення — стають фундаментом для професійного багхантингу.

Водночас, щоб перейти з CTF до Bug Bounty, учасникам потрібно прокачати практичний досвід роботи з реальними системами, навички комунікації з бізнесом і розуміння юридичних та етичних аспектів.

Кіберкомʼюніті, за словами Антона, має потужний освітній і кадровий ефект — воно формує нове покоління спеціалістів, які здатні стати цінними кадрами для бізнесу та держави. Саме тому інвестиції в розвиток комʼюніті є стратегічно вигідними: вони посилюють кіберстійкість країни та створюють умови для появи висококласних експертів.

____

The First Ukrainian Championship in Technological Sport — CTF Discipline

On September 6–7, the First Ukrainian Cybersecurity Championship took place at the national cyber range .

🏆 Congratulations to the winners:
1. skif0perator (Crimea)
2. Snufkink (Lviv)
3. ByteMe (Kyiv)

The Top 10 also included: 0xRivne, 0x57, Netflix&Chill, KyivShield, Ghost in the Shellcode, milworms, WireOnFire.

Anton Korzhynskyi, Head of the Triage Team at Stream, spoke at the panel discussion The Role of the Cyber Community in the Development of Technological Sport, held as part of the Championship.

Anton emphasized that CTF and Bug Bounty are closely interconnected: the skills gained during competitions — vulnerability discovery and analytical thinking — form the foundation of professional bug hunting.

At the same time, to transition from CTF to Bug Bounty, participants need to strengthen their practical experience with real-world systems, business communication skills, and an understanding of legal and ethical aspects.

According to Anton, the cyber community has a powerful educational and workforce effect — it shapes a new generation of specialists who can become valuable assets for both business and the state. That is why investing in community development is strategically beneficial: it strengthens the country’s cyber resilience and creates conditions for the emergence of world-class experts.

27/08/2025

🔥 21–22 серпня на IRD 4.0: FinHack Edition ми офіційно представили українську платформу BugStream

Форум став простором, де зустрілися більше сотні експертів з кібербезпеки, керівників установ, представників державних органів, міжнародних організацій та технологічних компаній, щоб разом відпрацювати практичні моделі протидії сучасним кібератакам та підвищити готовність фінансової сфери до кібервикликів.

BugStream - національна платформа для:
✨ бізнесу — це новий рівень безпеки через співпрацю з незалежними експертами;
✨ багхантерів — можливість розвивати свої навички та отримувати винагороди;
✨ всієї країни — це зміцнення кіберстійкості України.

BugStream — це українська Bug Bounty платформа, яка об’єднує спільноту бахнатерів і компаній для спільної мети — робити цифровий світ безпечнішим.

21/08/2025

Bug Stream долучився до організації та проведення Регіональних CTF-змагань в рамках Чемпіонату України, які стали важливою подією для української кіберспільноти.

Ми переконані, що — це не просто змагання та тренування, а ефективний інструмент розвитку практичних навичок та компетенцій майбутніх 🧑🏻‍💻 багхантерів 🧑🏻‍💻 і спеціалістів з кібербезпеки 🧑🏻‍💻.

Саме тому ми не могли залишитися осторонь і підтримали ці змагання.

У нагородженні переможців взяли участь представники:
▪️ Рада національної безпеки і оборони України
▪️ Міністерство молоді та спорту України
▪️ Міністерство цифрової трансформації України
▪️ Федерація технологічного спорту України.
▪️ Проєкт EU4DigitalUA від (онлайн).

Вітаємо переможців та дякуємо всім учасникам за жагу до знань і прагнення зробити кіберпростір безпечнішим!

08/08/2025

🎉 Ми були раді взяти участь у святкуванні 9-ї річниці Prozorro!

Цей захід об’єднав закупівельну спільноту, партнерів, бізнес і урядовців, де лунали важливі вітальні слова від Олексія Соболева - новопризначеного Міністра економіки, довкілля та сільського господарства України, від Андрія Телюпи — заступника Міністра, а також представника Посольства Великої Британії.

Микола Ткаченко, СЕО ДП «Прозорро», поділився ключовими досягненнями 2025 року та планами на 2026-й. Було проведено цікаві панельні дискусії, вікторину, а також насичений нетворкінг.

Для — це особлива честь працювати з ДП «Прозорро», єдиним державним підприємством в Україні, яке на постійній основі проводить разом з нами Bug Bounty програми.
Завдяки такій співпраці ми разом підвищуємо кібербезпеку та захищаємо прозорість цифрових процесів України.

Дякуємо за довіру та партнерство!

#Прозорро #Кібербезпека