Минцифра похвасталась, что «Дія» оказалась неприступной для хакеров

На ITC.ua Неделя ИИ. Мы исследуем, как именно ИИ улучшает жизнь миллионов людей прямо сейчас и что ждет нас в будущем. Партнер проекта – компания Favbet Tech, которая активно интегрирует ИИ в свои продукты.

Минцифра подвела итоги Bug Bounty марафона по взлому приложения «Дія» с призовым фондом 1 млн грн, проводившегося  с 8 по 15 декабря на платформе Bugcrowd.

Всего в марафоне поучаствовало 50 хакеров, отобранных Bugcrowd из базы лучших хакеров мира. В Минцифре с гордостью заявили, что «Дія» прошла проверку и никаких проблем безопасности «белые» хакеры не обнаружили. Всего исследователи безопасности обнаружили две технические ошибки низкого уровня:

• Возможность сгенерировать такой QR-код, который приводит к аварийному завершению работы приложения. Уровень уязвимости — P5 (информационный), самый низкий.
  Вознаграждение не предусмотрено.
• Возможность получения данных о полисе страхования автотранспорта пользователя с внесением изменений в приложение (необходимо знать государственный номер транспортного средства и VIN-код). Уровень уязвимости — P4 (непредусмотренная особенность работы облачных API, которая не ведет к утечке чувствительной информации).
  Специалисты получат вознаграждение $250 из общего призового фонда, который составил $35 тыс.

Анализ логов, полученных во время марафона, показал, что специалистами были выполнены попытки выявить уязвимости, которые подпадают под такие категории (согласно классификации OWASP):

1. Injection
2. Broken Authentication
3. Sensitive Data Exposure
4. Broken Access Control.
5. Security Misconfiguration
6. Insecure Deserialization
7. Using Components with Known Vulnerabilities

Также хакеры проверили API и протокол взаимодействия с партнерскими организациями по отправке электронных версий документов с мобильного приложения «Дія».

Желающие могут ознакомиться с полной версией предоставленного Минцифрой отчета о соревновании по взлому «Дії» по ссылке (.PDF).

Favbet Tech — украинская продуктовая компания, разработчик iGaming-решений. Входит в топ-50 крупнейших IT-компаний Украины по версии DOU. Специализируется на высоконагруженных системах, облачной инфраструктуре и искусственном интеллекте. В 2025 году стала инициатором создания АИ-комитета Ассоциации «ИТ Ukrainе» — первого отраслевого объединения, занимающегося вопросами развития АИ на уровне бизнеса и государства.