Минцифра подвела итоги Bug Bounty марафона по взлому приложения «Дія» с призовым фондом 1 млн грн, проводившегося с 8 по 15 декабря на платформе Bugcrowd.
Всего в марафоне поучаствовало 50 хакеров, отобранных Bugcrowd из базы лучших хакеров мира. В Минцифре с гордостью заявили, что «Дія» прошла проверку и никаких проблем безопасности «белые» хакеры не обнаружили. Всего исследователи безопасности обнаружили две технические ошибки низкого уровня:
- Возможность сгенерировать такой QR-код, который приводит к аварийному завершению работы приложения. Уровень уязвимости — P5 (информационный), самый низкий.
Вознаграждение не предусмотрено. - Возможность получения данных о полисе страхования автотранспорта пользователя с внесением изменений в приложение (необходимо знать государственный номер транспортного средства и VIN-код). Уровень уязвимости — P4 (непредусмотренная особенность работы облачных API, которая не ведет к утечке чувствительной информации).
Специалисты получат вознаграждение $250 из общего призового фонда, который составил $35 тыс.
Анализ логов, полученных во время марафона, показал, что специалистами были выполнены попытки выявить уязвимости, которые подпадают под такие категории (согласно классификации OWASP):
- Injection
- Broken Authentication
- Sensitive Data Exposure
- Broken Access Control.
- Security Misconfiguration
- Insecure Deserialization
- Using Components with Known Vulnerabilities
Также хакеры проверили API и протокол взаимодействия с партнерскими организациями по отправке электронных версий документов с мобильного приложения «Дія».
Желающие могут ознакомиться с полной версией предоставленного Минцифрой отчета о соревновании по взлому «Дії» по ссылке (.PDF).