Всего $250 вместо миллиона. Поиск уязвимостей в Діє закончился провалом для хакеров

В декабре команда Министерства цифровой трансформации при поддержке агентства по международному развитию США (USAID) провела на платформе Bugcrowd тестирование сервиса Дія. Уязвимостей, которые бы влияли на безопасность не было найдено. Хакеры смогли обнаружить только два технических бага низкого уровня, которые сразу были исправлены разработчиками Дія, говорится на сайте Минцифры. 

Среди найденных во время багбаунти багов ведомство отмечает следующие пункты:

  • Возможность сгенерировать такой QR-код, при считывании которого мобильное приложение вылетает с ошибкой. Эта проблема не влияет на безопасность данных пользователей, поэтому получила самый низкий приоритет уровня P5.
  • Возможность получения информации о полисе страхования автомобиля пользователя при модификации приложения, если известен госномер авто и VIN-код. Поскольку эта информация и так есть в открытом доступе и не содержит данных пользователя или сервиса, которые бы подпадали под защиту Закона «О защите персональных данных «, такая уязвимость получила уровень P4.

Представители платформы Bugcrowd сообщили, что специалисты, выявившие уязвимость уровня P4 получат $250 из общего призового фонда, который составил $35 000. Обнаружение бага уровня P5 по условиям программы не предусматривало выплат из призового фонда.

Баг-баунти (Bug Bounty) – это процесс, в котором компания привлекает сторонних специалистов по кибербезопасности для тестирования своего программного обеспечения на уязвимости. За каждую найденную уязвимость (баг) люди получают вознаграждение (баунти).

Всего, к баг-баунти приложения Дія были привлечены 84 специалистов, которые соответствуют заданным критериям, 14 из которых – украинцы.

Илья Закорецкий

Если Вы заметили орфографическую ошибку, выделите её мышью и нажмите Ctrl+Enter.

Еще по теме

Добавить комментарий