Минцифра похвасталась, что «Дія» оказалась неприступной для хакеров

Минцифра подвела итоги Bug Bounty марафона по взлому приложения «Дія» с призовым фондом 1 млн грн, проводившегося  с 8 по 15 декабря на платформе Bugcrowd.

Всего в марафоне поучаствовало 50 хакеров, отобранных Bugcrowd из базы лучших хакеров мира. В Минцифре с гордостью заявили, что «Дія» прошла проверку и никаких проблем безопасности «белые» хакеры не обнаружили. Всего исследователи безопасности обнаружили две технические ошибки низкого уровня:

  • Возможность сгенерировать такой QR-код, который приводит к аварийному завершению работы приложения. Уровень уязвимости — P5 (информационный), самый низкий.
    Вознаграждение не предусмотрено.
  • Возможность получения данных о полисе страхования автотранспорта пользователя с внесением изменений в приложение (необходимо знать государственный номер транспортного средства и VIN-код). Уровень уязвимости — P4 (неспецификована особенность работы облачных API, которая не ведет к утечке чувствительной информации).
    Специалисты получат вознаграждение $250 из общего призового фонда, который составил $35 тыс.

Анализ логов, полученных во время марафона, показал, что специалистами были выполнены попытки выявить уязвимости, которые подпадают под такие категории (согласно классификации OWASP):

  1. Injection
  2. Broken Authentication
  3. Sensitive Data Exposure
  4. Broken Access Control.
  5. Security Misconfiguration
  6. Insecure Deserialization
  7. Using Components with Known Vulnerabilities

Также хакеры проверили API и протокол взаимодействия с партнерскими организациями по отправке электронных версий документов с мобильного приложения «Дія».

Желающие могут ознакомиться с полной версией предоставленного Минцифрой отчета о соревновании по взлому «Дії» по ссылке (.PDF).

Источник: ITC.ua

Читайте также

Вверх