У Мінціфрі заявили, що додаток «Дія» виявився неприступним для хакерів

Вітаємо вас на «Хмарочосі»! Якщо вам подобається, що ми робимо, то пропонуємо підтримати нас щомісячним внеском від 50 гривень. За ціною лише однієї поїздки у таксі, ви підтримаєте роботу усієї редакції і допоможете робити Київ місцем для гідного життя, а діяльність влади – прозорішою.

Міністерство цифрової трансформації підвело підсумки марафону по злому мобільного застосунку порталу державних послуг «Дія» з призовим фондом в мільйон гривень. Bug Bounty проводилося з восьмого по 15 грудня на платформі Bugcrowd.

У грудні команда Мінцифри на платформі Bugcrowd за підтримки агентства з міжнародного розвитку США (USAID) провела тестування на знаходження можливих помилок у «Дії». У застосунку не виявили вразливостей, які б впливали на безпеку, повідомили у відомстві.

Проте під час Bug Bounty було знайдено два технічні баги найнижчого рівня. Зокрема, серед знайдених несуттєвих – можливість згенерувати такий QR-код, при зчитуванні якого мобільний застосунок вилітає з помилкою та можливість отримання інформації про поліс страхування автотранспорту користувача при модифікації застосунку, якщо відомий державний номер транспортного засобу та VIN-код. Ці вразливості вже виправила команда «Дії».

Нагадаємо, Мініцифри оголосило багбаунті та пообіцяло мільйон гривень на винагороди хакерам, які зможуть зламати мобільний застосунок «Дія». У такий спосіб відомство хотіло виявити вразливості в застосунку «Дія».

Фото: thedigital.gov.ua