monobank прошел первый внешний пентест — по итогам состоявшегося 1 декабря первого Bug Bounty, аккредитованные «белые» (этические) хакеры нашли несколько «дыр» в безопасности IT-систем популярного необанка. О результатах хакатона рассказал Chief Information Officer Fintech Band Максим Пугач в комментарии Forbes.
Это впервые за 6 лет monobank организовал программу по поиску уязвимостей и выделил на нее достаточно солидный бюджет в размере 1 млн. грн. — мы рассказывали все ключевые детали в новости 17 ноября, когда стартовала регистрация.
Как рассказал главный айтишник команды разработчиков monobank, всего на участие в программе поиска уязвимостей в monobank подали почти 1000 белых шляп, но в конце концов отбор прошли лишь 275 специалистов, подписавших NDA через приложение «Действие» — это, между прочим, помогло менеджменту mono русскую… агентуру.
Активное участие в конкурсе принимали 23 хакера, которые подали 46 отчетов — никакой уязвимости критического уровня (Р1) участники не обнаружили. В то же время сообщается о двух уязвимостях высокого уровня Р2, одной P3 и шести ошибках самого низкого уровня Р4. Максимальная сумма награды в рамках программы составила $750 за найденную уязвимость второго уровня. По уязвимости третьего уровня (Р3) исследователи получат по $500, а вознаграждение за уязвимости Р4 — $250. Что интересно, эти суммы несколько отличаются от указанных в оригинальной таблице наград, но, возможно, есть нюансы в оценке значимости. В то же время все участники выплатили дополнительно по $100, а общие выплаты по программе составили $6800.
Следующий конкурс monobank планирует за год или два, а их периодичность будет зависеть от объема новых функций. Остается надеяться, что подобные конкурсы сделают monobank защищенным и устойчивым к вероятным хакерским атакам в будущем, например, недавняя массированная DDoS-атака 12 декабря. Возможно, Киевстар тоже стоит обдумать перезапуск собственной BugBounty программы, учитывая горький опыт и ошибки прошлого.
- В 2020 году Минцифры проводило схожий Bug Bounty марафон с призовым фондом 1 млн грн, чтобы проверить на приложение "Действие" - тогда ведомство по итогам заявило , что государственный сервис оказался неприступным для хакеров и никому не удалось взломать "Действие". Правда, к организации конкурса возникли вопросы из-за ограниченного доступа к участию.
- monobank – карточный продукт Fintech Band и «Универсал-Банка». Первую основали в январе 2017 года бывшие топ-менеджеры «ПриватБанка» Олег Гороховский, Дмитрий Дубилет и Михаил Рогальский. Проект использует для работы банковскую лицензию Universal Bank, которая входит в группу ТАС и принадлежит украинскому бизнесмену Сергею Тигипко.