Мінцифри розповіло, які вразливості знайшли «білі хакери» у «Дії»
Міністерство цифрової трансформації за підсумками перевірки сервісу «Дія» заявило, що «білі хакери» не виявили критичних вразливостей у застосунку. Водночас кіберфахівці знайшли низку недопрацювань, які не впливають на безпеку.
За результатами перевірки було підтверджено такі проблеми у «Дії»:
- Можливість згенерувати QR-код, при зчитуванні якого мобільний застосунок вилітає з помилкою (найнижчий з можливих пріоритет рівня P5 (інформаційний).
- Можливість отримання інформації про поліс страхування авто користувача при модифікації застосунку, якщо відомий державний номер транспортного засобу та VIN-код. Оскільки ці дані є у відкритому доступі, вразливість отримала рівень P4 та ідентифікована як неспецифікована особливість роботи хмарних API, що не призводить до витоку чутливої інформації.
«Представники платформи Bugcrowd повідомили, що спеціалісти за виявлення вразливості рівня P4 отримають по $250 із загального призового фонду, що становив $35 000; за виявлення багу найнижчого рівня P5, визначеного як інформаційний, за умовами програми виплати коштів не передбачалося», - зазначили у Мінцифри.
Учасники Bug Bounty намагались виявити вразливості, які підпадають під такі категорії (відповідно до класифікації OWASP):
- Injection
- Broken Authentication
- Sensitive Data Exposure
- Broken Access Control.
- Security Misconfiguration
- Insecure Deserialization
- Using Components with Known Vulnerabilities
Раніше Глава Мінцифри Михайло Федоров заявив, що уряд планує заплатити мільйон гривень «білим хакерам», які знайдуть вразливість у застосунку держсервісів «Дія». Нагороди будуть розподілені за 5 категоріями вразливостей — від найменш до найбільш небезпечних.
Міністерство цифрової трансформації почало 8 грудня випробування на міцність захисту застосунку «Дія». Його за винагороду будуть намагатися зламати 50 «білих хакерів» із усього світу.