Мобильное приложение «Дия» успешно прошел проверку на уязвимость. Таковы результаты Bug Bounty (программа, с помощью которой другие программисты помогают разработчикам разобраться и устранить ошибки приложения или сайта, прежде чем широкая общественность узнает о них, – Mediasapiens). Об этом MediaSapiens сообщили в пресс служба Министерства цифровой трансформации.
Как сообщили в министерстве, в приложения не выявили уязвимостей, которые бы влияли на безопасность. Найдено два технических баги низкого уровня, сразу были исправлены специалистами проекта «Дия».
Среди найденных во время Bug Bounty несущественных уязвимостей, которые уже исправила команда «Дия»:
ПРОДОВЖЕННЯ ПІСЛЯ РЕКЛАМИ
Возможности сгенерировать такой QR-код, при считывании которого мобильный приложение вылетает с ошибкой. Эта проблема не влияет на безопасность данных пользователей или сервиса, поэтому получила самый низкий из возможных приоритет уровня P5 (информационный).
Возможности получения информации о полис страхования автотранспорта пользователя при модификации приложения, если известен государственный номер транспортного средства и VIN-код. Это доступно в открытом доступе, например, по ссылке – https://policy-web.mtsbu.ua, и не содержит никаких данных пользователя или сервиса «Дия», которые можно отнести к подпадающих под защиту Закона «О защите персональных данных ». Поэтому эта уязвимость получила уровень P4 и идентифицирована как неспецификована особенность работы облачных API, не приводит к утечке чувствительной информации.
Представители платформы Bugcrowd, которая проводила проверку на уязвимость, сообщили, что специалисты по выявлению уязвимости уровня P4 получат по $ 250 из общего призового фонда, который составил $ 35 000; при обнаружении багу низкого уровня P5, определенного как информационный, по условиям программы выплаты средств не предусматривалось.
Как объяснили министерстве, цель Bug Bounty – сделать так, чтобы украинцы были уверены в защищенности своих персональных данных и доверяли сервисам.
Проверка стартовала 8 декабря и продолжалась неделю – до 15 декабря 2020 года. Призовой фонд составлял 1 млн грн.
В процессе Bug Bounty белые хакеры получили доступ к фактически копии продуктового среды (исключая доступа в государственные реестры и других информационных систем). Это позволило максимально избежать возможности утечки уязвимостей.
Отбором хакеров занималась команда Bugcrowd. В процессе использовали технологию Crowdmatch – к участию пригласят хакеров, имеющих навыки работы с технологиями, которые используются в «Дия», а также опыт работы с мобильными приложениями.
"Передбачається, що це більш простий компаньйон для мого телефону, проте R1 часто говорить мені використовувати…
Поява про «розумних кілець» стає черговим модним цифровим трендом. Виробникам потрібно щось випускати, а новий…
Портал 9to5Mac поділився новими подробицями про плани Apple з розробки та випуску своїх перших пристроїв…
Цього місяця Fallout став найпопулярнішим телевізійним шоу, що є вражаючим досягненням адаптації відеоігри. Хоча Bethesda…
Три моделі смартфонів екосистеми “Сяомі” більше не отримують оновлення та підтримку. Потенційні покупці повинні враховувати…
Дослідники з Microsoft виявили, що багато додатків Android — у тому числі як мінімум чотири…