Минцифра похвасталась, что «Дія» оказалась неприступной для хакеров

Минцифра подвела итоги Bug Bounty марафона по взлому приложения «Дія» с призовым фондом 1 млн грн, проводившегося с 8 по 15 декабря на платформе Bugcrowd.

Всего в марафоне поучаствовало 50 хакеров, отобранных Bugcrowd из базы лучших хакеров мира.

В Минцифре с гордостью заявили, что «Дія» прошла проверку и никаких проблем безопасности «белые» хакеры не обнаружили.

Всего исследователи безопасности обнаружили две технические ошибки низкого уровня:.

Возможность сгенерировать такой QR-код, который приводит к аварийному завершению работы приложения.

Уровень уязвимости — P5 (информационный), самый низкий.

Вознаграждение не предусмотрено.

Возможность получения данных о полисе страхования автотранспорта пользователя с внесением изменений в приложение (необходимо знать государственный номер транспортного средства и VIN-код).

Уровень уязвимости — P4 (неспецификована особенность работы облачных API, которая не ведет к утечке чувствительной информации).

Специалисты получат вознаграждение $250 из общего призового фонда, который составил $35 тыс.

Анализ логов, полученных во время марафона, показал, что специалистами были выполнены попытки выявить уязвимости, которые подпадают под такие категории (согласно классификации OWASP):.

Broken Authentication.

Sensitive Data Exposure.

Broken Access Control.

Security Misconfiguration.

Insecure Deserialization.

Using Components with Known Vulnerabilities.

Также хакеры проверили API и протокол взаимодействия с партнерскими организациями по отправке электронных версий документов с мобильного приложения «Дія».

Желающие могут ознакомиться с полной версией предоставленного Минцифрой отчета о соревновании по взлому «Дії» по ссылке (.PDF).

(Открывается в новом окне).