Новости
Минцифра похвасталась, что «Дія» оказалась неприступной для хакеров

Минцифра похвасталась, что «Дія» оказалась неприступной для хакеров

Минцифра похвасталась, что «Дія» оказалась неприступной для хакеров

Минцифра подвела итоги Bug Bounty марафона по взлому приложения «Дія» с призовым фондом 1 млн грн, проводившегося  с 8 по 15 декабря на платформе Bugcrowd.

Всего в марафоне поучаствовало 50 хакеров, отобранных Bugcrowd из базы лучших хакеров мира. В Минцифре с гордостью заявили, что «Дія» прошла проверку и никаких проблем безопасности «белые» хакеры не обнаружили. Всего исследователи безопасности обнаружили две технические ошибки низкого уровня:

  • Возможность сгенерировать такой QR-код, который приводит к аварийному завершению работы приложения. Уровень уязвимости — P5 (информационный), самый низкий.
    Вознаграждение не предусмотрено.
  • Возможность получения данных о полисе страхования автотранспорта пользователя с внесением изменений в приложение (необходимо знать государственный номер транспортного средства и VIN-код). Уровень уязвимости — P4 (непредусмотренная особенность работы облачных API, которая не ведет к утечке чувствительной информации).
    Специалисты получат вознаграждение $250 из общего призового фонда, который составил $35 тыс.

Анализ логов, полученных во время марафона, показал, что специалистами были выполнены попытки выявить уязвимости, которые подпадают под такие категории (согласно классификации OWASP):

  1. Injection
  2. Broken Authentication
  3. Sensitive Data Exposure
  4. Broken Access Control.
  5. Security Misconfiguration
  6. Insecure Deserialization
  7. Using Components with Known Vulnerabilities

Также хакеры проверили API и протокол взаимодействия с партнерскими организациями по отправке электронных версий документов с мобильного приложения «Дія».

Желающие могут ознакомиться с полной версией предоставленного Минцифрой отчета о соревновании по взлому «Дії» по ссылке (.PDF).


Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: