«Дия» успешно прошла проверку на уязвимость – Минцифры

В приложении нашли два технических баги низкого уровня, сразу были исправлены специалистами проекта «Действие».

31

Мобильное приложение «Дия» успешно прошел проверку на уязвимость. Таковы результаты Bug Bounty (программа, с помощью которой другие программисты помогают разработчикам разобраться и устранить ошибки приложения или сайта, прежде чем широкая общественность узнает о них, – Mediasapiens). Об этом MediaSapiens сообщили в пресс служба Министерства цифровой трансформации.

Как сообщили в министерстве, в приложения не выявили уязвимостей, которые бы влияли на безопасность. Найдено два технических баги низкого уровня, сразу были исправлены специалистами проекта «Дия».

Среди найденных во время Bug Bounty несущественных уязвимостей, которые уже исправила команда «Дия»:

Возможности сгенерировать такой QR-код, при считывании которого мобильный приложение вылетает с ошибкой. Эта проблема не влияет на безопасность данных пользователей или сервиса, поэтому получила самый низкий из возможных приоритет уровня P5 (информационный).

Возможности получения информации о полис страхования автотранспорта пользователя при модификации приложения, если известен государственный номер транспортного средства и VIN-код. Это доступно в открытом доступе, например, по ссылке – https://policy-web.mtsbu.ua, и не содержит никаких данных пользователя или сервиса «Дия», которые можно отнести к подпадающих под защиту Закона «О защите персональных данных ». Поэтому эта уязвимость получила уровень P4 и идентифицирована как неспецификована особенность работы облачных API, не приводит к утечке чувствительной информации.

Представители платформы Bugcrowd, которая проводила проверку на уязвимость, сообщили, что специалисты по выявлению уязвимости уровня P4 получат по $ 250 из общего призового фонда, который составил $ 35 000; при обнаружении багу низкого уровня P5, определенного как информационный, по условиям программы выплаты средств не предусматривалось.

Как объяснили министерстве, цель Bug Bounty – сделать так, чтобы украинцы были уверены в защищенности своих персональных данных и доверяли сервисам.

Проверка стартовала 8 декабря и продолжалась неделю – до 15 декабря 2020 года. Призовой фонд составлял 1 млн грн.

В процессе Bug Bounty белые хакеры получили доступ к фактически копии продуктового среды (исключая доступа в государственные реестры и других информационных систем). Это позволило максимально избежать возможности утечки уязвимостей.

Отбором хакеров занималась команда Bugcrowd. В процессе использовали технологию Crowdmatch – к участию пригласят хакеров, имеющих навыки работы с технологиями, которые используются в «Дия», а также опыт работы с мобильными приложениями.