RU

Всього $250 замість мільйона. Пошук вразливостей у Дії закінчився провалом для хакерів

30.12.2020, 19:24
Всього $250 замість мільйона. Пошук вразливостей у Дії закінчився провалом для хакерів - Фото
Фото: thedigital.gov.ua

У грудні команда Міністерства цифрової трансформації за підтримки агентства з міжнародного розвитку США (USAID) провела на платформі Bugcrowd тестування сервісу Дія. Вразливостей, що впливали б на безпеку не було знайдено. Хакери змогли виявити лише два технічних баги низького рівня, які відразу були виправлені розробниками Дія, йдеться на сайті Мінцифри.

Серед знайдених під час Баг Баунті багів відомство зазначає наступні пункти:

  • Можливості згенерувати такий QR-код, при зчитуванні якого мобільний застосунок вилітає з помилкою. Ця проблема не впливає на безпеку даних користувачів чи сервісу, тому отримала найнижчий із можливих пріоритет рівня P5.
  • Можливості отримання інформації про поліс страхування автотранспорту користувача за модифікації застосунку, якщо відомий державний номер транспортного засобу та VIN-код. Така інформація є у відкритому доступі і не містить даних користувача або сервісу, що підпадали би під захист Закону "Про захист персональних даних", така вразливість отримала рівень P4.

Представники платформи Bugcrowd повідомили, що фахівці, які виявили вразливість рівня P4 отримають $250 із загального призового фонду, що склав $35 000. Виявлення багу рівня P5 за умовами програми не передбачало виплат із призового фонду.

Баг Баунті (Bug Bounty) – це процес, в якому компанія залучає сторонніх фахівців із кібербезпеки для тестування свого програмного забезпечення на вразливості. За кожну знайдену вразливість (баг) люди отримують винагороду (баунті).

Усього, до Баг Баунті застосунку Дія було залучено 84 фахівці, які відповідають заданим критеріям, 14 з яких – українці.

Илья Закорецкий
Якщо Ви помітили орфографічну помилку, виділіть її мишкою і натисніть Ctrl+Enter.

Комментарі

Останні новини