monobank подвел итоги первого Bug Bounty на 1 млн грн — «белые» хакеры нашли ряд уязвимостей Р2-Р4 и заработали $6800

Опубликовал
Володимир Скрипін

monobank прошел первый внешний пентест — по итогам состоявшегося 1 декабря первого Bug Bounty, аккредитованные «белые» (этические) хакеры нашли несколько «дыр» в безопасности IT-систем популярного необанка. О результатах хакатона рассказал Chief Information Officer Fintech Band Максим Пугач в комментарии Forbes.

Это впервые за 6 лет monobank организовал программу по поиску уязвимостей и выделил на нее достаточно солидный бюджет в размере 1 млн. грн. — мы рассказывали все ключевые детали в новости 17 ноября, когда стартовала регистрация.

Как рассказал главный айтишник команды разработчиков monobank, всего на участие в программе поиска уязвимостей в monobank подали почти 1000 белых шляп, но в конце концов отбор прошли лишь 275 специалистов, подписавших NDA через приложение «Действие» — это, между прочим, помогло менеджменту mono русскую… агентуру.

Активное участие в конкурсе принимали 23 хакера, которые подали 46 отчетов — никакой уязвимости критического уровня (Р1) участники не обнаружили. В то же время сообщается о двух уязвимостях высокого уровня Р2, одной P3 и шести ошибках самого низкого уровня Р4. Максимальная сумма награды в рамках программы составила $750 за найденную уязвимость второго уровня. По уязвимости третьего уровня (Р3) исследователи получат по $500, а вознаграждение за уязвимости Р4 — $250. Что интересно, эти суммы несколько отличаются от указанных в оригинальной таблице наград, но, возможно, есть нюансы в оценке значимости. В то же время все участники выплатили дополнительно по $100, а общие выплаты по программе составили $6800.

Онлайн-курс Frontend-разробник від Powercode academy.
Курс на якому ти напишеш свій чистий код на JavaScript, попрацюєш із різними видами верстки, а також адаптаціями проектів під будь-які екрани. .
Зарееструватися

Следующий конкурс monobank планирует за год или два, а их периодичность будет зависеть от объема новых функций. Остается надеяться, что подобные конкурсы сделают monobank защищенным и устойчивым к вероятным хакерским атакам в будущем, например, недавняя массированная DDoS-атака 12 декабря. Возможно, Киевстар тоже стоит обдумать перезапуск собственной BugBounty программы, учитывая горький опыт и ошибки прошлого.

  • В 2020 году Минцифры проводило схожий Bug Bounty марафон с призовым фондом 1 млн грн, чтобы проверить на приложение "Действие" - тогда ведомство по итогам заявило , что государственный сервис оказался неприступным для хакеров и никому не удалось взломать "Действие". Правда, к организации конкурса  возникли вопросы из-за ограниченного доступа к участию.
  • monobank – карточный продукт Fintech Band и «Универсал-Банка». Первую основали в январе 2017 года бывшие топ-менеджеры «ПриватБанка» Олег Гороховский, Дмитрий Дубилет и Михаил Рогальский. Проект использует для работы банковскую лицензию Universal Bank, которая входит в группу ТАС и принадлежит украинскому бизнесмену Сергею Тигипко.
Disqus Comments Loading...