Мобільний додаток «Дія» успішно пройшов перевірку на вразливість. Такими є результати Bug Bounty (програма, за допомогою якої інші програмісти допомагають розробникам розібратися й усунути помилки додатку чи сайту, перш ніж широка громадськість дізнається про них, - Mediasapiens). Про це MediaSapiens повідомили в пресслужбі Міністерства цифрової трансформації.

Як повідомили в міністерстві, у застосунку не виявили вразливостей, які б впливали на безпеку. Знайдено два технічні баги найнижчого рівня, які одразу були виправлені спеціалістами проєкту «Дія».

Серед знайдених під час Bug Bounty несуттєвих вразливостей, які вже виправила команда «Дії»:

1. Можливості згенерувати такий QR-код, при зчитуванні якого мобільний застосунок вилітає з помилкою. Ця проблема не впливає на безпеку даних користувачів чи сервісу, тому отримала найнижчий з можливих пріоритет рівня P5 (інформаційний).

2. Можливості отримання інформації про поліс страхування автотранспорту користувача при модифікації застосунку, якщо відомий державний номер транспортного засобу та VIN-код. Така інформація доступна у відкритому доступі, наприклад, за посиланням – https://policy-web.mtsbu.ua, та не містить ніяких даних користувача чи сервісу «Дія», які можна віднести до тих, що підпадають під захист Закону «Про захист персональних даних». Тому ця вразливість отримала рівень P4 та ідентифікована як неспецифікована особливість роботи хмарних API, що не призводить до витоку чутливої інформації.

Представники платформи Bugcrowd, яка проводила перевірку на вразливість, повідомили, що спеціалісти за виявлення вразливості рівня P4 отримають по $250 із загального призового фонду, що становив $35 000; за виявлення багу найнижчого рівня P5, визначеного як інформаційний, за умовами програми виплати коштів не передбачалося. 

Нагадаємо, Мінцифри у жовтні анонсувало проведення Bug Bounty додатку «Дія». Для цього створили копію основного додатка.

Як пояснили міністерстві, мета Bug Bounty — зробити так, щоб українці були впевнені в захищеності своїх персональних даних та довіряли сервісам. 

Перевірка стартувала 8 грудня і тривала тиждень - до 15 грудня 2020 року. Призовий фонд складав 1 млн грн.

У процесі Bug Bounty білі хакери отримали доступ до фактично копії продуктового середовища (за виключенням доступу до державних реєстрів та інших інформаційних систем). Це дозволило максимально уникнути можливості витоку вразливостей.

Відбором хакерів займалася команда Bugcrowd. У процесі використали технологію Crowdmatch - до участі запросять хакерів, що мають навички роботи з технологіями, які використовуються в «Дія», а також досвід роботи з мобільними додатками.

Фото: УНІАН