monobank пройшов перший зовнішній пентест — за підсумками першого Bug Bounty, який відбувся 1 грудня, акредитовані «білі» (етичні) хакери знайшли кілька «дірок» в безпеці ІТ-систем популярного необанку. Про результати хакатону розповів Chief Information Officer Fintech Band Максим Пугач в коментарі українському Forbes.
Це вперше за 6 років monobank організував програму з пошуку вразливостей та виділив на неї досить солідний бюджет в розмірі 1 млн грн — ми розповідали всі ключові деталі у новині 17 листопада, коли стартувала реєстрація.
Як розповів головний айтівець команди розробників monobank, всього на участь у програмі пошуку вразливостей в monobank подалося майже 1000 білих капелюхів, але зрештою відбір пройшли лише 275 спеціалістів, які підписали NDA через застосунок «Дія» — це, поміж іншого, допомогло менеджменту monobank відсіяти усіляку російську… агентуру.
Активну участь в конкурсі брали 23 хакери, які подали 46 звітів — жодної вразливості критичного рівня (Р1) учасники не виявили. Водночас повідомляється про дві вразливості високого рівня Р2, одну P3 та шість помилок найнижчого рівня Р4. Максимальна сума нагороди в межах програми склала $750 за знайдену вразливість другого рівня. За вразливості третього рівня (Р3) дослідники отримають по $500, а винагорода за вразливості Р4 — $250. Що цікаво, ці суми дещо відрізняються від вказаних в оригінальній таблиці нагород, але, можливо, є якісь нюанси в оцінюванні значущості. Водночас всі учасникам виплатили додатково по $100, а загальні виплати за програмою склали $6800.
Наступний такий конкурс monobank планує за рік або два, а їхня періодичність залежатиме від обсягу нових функцій. Залишається сподіватися, що подібні конкурси зроблять monobank захищеним та стійкішим до ймовірних хакерських атак у майбутньому, як-от нещодавня масована DDoS-атака 12 грудня. Можливо, «Київстар» теж варто обміркувати перезапуск власної BugBounty програми, врахувавши гіркий досвід та помилки минулого.
- У 2020 році Мінцифри проводило схожий Bug Bounty марафон з призовим фондом 1 млн грн, щоб перевірити на застосунок “Дія” — тоді відомство за підсумками заявило, що державний сервіс виявився неприступним для хакерів і нікому не вдалося зламати “Дію”. Щоправда, до організації конкурсу виникли питання через обмежений доступ до участі.
- monobank — картковий продукт Fintech Band і «Універсал-Банку». Першу заснували в січні 2017 року колишні топменеджери «ПриватБанку» Олег Гороховський, Дмитро Дубілет і Михайло Рогальський. Проєкт використовує для роботи банківську ліцензію Universal Bank, що входить до групи ТАС та належить українському бізнесмену Сергію Тігіпку.