Минцифры рассказало, какие уязвимости нашли «белые хакеры» в «Дії»
Министерство цифровой трансформации по итогам проверки сервиса «Дія» заявило, что «белые хакеры» не обнаружили критических уязвимостей в приложении. В то же время киберэксперты нашли ряд недоработок, которые не влияют на безопасность.
По результатам проверки было подтверждено такие проблемы в «Дія»:
- Возможность сгенерировать QR-код, при считывании которого мобильный приложение вылетает с ошибкой (самый низкий из возможных приоритет уровня P5 (информационный).
- Возможность получения информации о полисе страхования авто пользователя при модификации приложения, если известен государственный номер транспортного средства и VIN-код. Поскольку эти данные в открытом доступе, уязвимость получила уровень P4 и идентифицирована как неспецифицированная особенность работы облачных API, которая не приводит к утечке чувствительной информации.
«Представители платформы Bugcrowd сообщили, что специалисты по выявлению уязвимости уровня P4 получат по $ 250 из общего призового фонда, который составил $35 000; при обнаружении бага низкого уровня P5, определенного как информационный, по условиям программы выплаты средств не предполагалось», - отметили в Минцифры.
Участники Bug Bounty пытались выявить уязвимости, которые подпадают под такие категории (согласно классификации OWASP):
- Injection
- Broken Authentication
- Sensitive Data Exposure
- Broken Access Control.
- Security Misconfiguration
- Insecure Deserialization
- Using Components with Known Vulnerabilities
Ранее Глава Минцифры Михаил Федоров заявил, что правительство планирует заплатить миллион гривен «белым хакерам», которые найдут уязвимость в приложении держсервисив «Действие». Награды будут распределены по 5 категориям уязвимостей - от наименее до наиболее опасных.
Министерство цифровой трансформации начало 8 декабря испытание на прочность защиты приложения «Действие». Его за вознаграждение будут пытаться сломать 50 «белых хакеров» со всего мира.