17:33, Воскресенье, 24.01.2021

$250 вместо миллиона. Поиск уязвимостей в Дие закончился провалом для белых хакеров

AOinformНовостиIT 01.01.2021 в 22:09112490
$250 вместо миллиона. Поиск уязвимостей в Дие закончился провалом для белых хакеров
Фото: thedigital.gov.ua
Обнаружение бага уровня P5 по условиям программы не предусматривало выплат из призового фонда.
В декабре команда Министерства цифровой трансформации при поддержке агентства по международному развитию США (USAID) провела на платформе Bugcrowd тестирование сервиса Дия. Уязвимостей, которые бы влияли на безопасность не было найдено. Хакеры смогли обнаружить только два технических бага низкого уровня, которые сразу были исправлены разработчиками Дия, говорится на сайте Минцифры.

Среди найденных во время багбаунти багов ведомство отмечает следующие пункты:
  • Возможность сгенерировать такой QR-код, при считывании которого мобильное приложение вылетает с ошибкой. Эта проблема не влияет на безопасность данных пользователей, поэтому получила самый низкий приоритет уровня P5.
  • Возможность получения информации о полисе страхования автомобиля пользователя при модификации приложения, если известен госномер авто и VIN-код. Поскольку эта информация и так есть в открытом доступе и не содержит данных пользователя или сервиса, которые бы подпадали под защиту Закона "О защите персональных данных ", такая уязвимость получила уровень P4.
Представители платформы Bugcrowd сообщили, что специалисты, выявившие уязвимость уровня P4 получат $250 из общего призового фонда, который составил $35 000. Обнаружение бага уровня P5 по условиям программы не предусматривало выплат из призового фонда.

Баг-баунти (Bug Bounty) – это процесс, в котором компания привлекает сторонних специалистов по кибербезопасности для тестирования своего программного обеспечения на уязвимости. За каждую найденную уязвимость (баг) люди получают вознаграждение (баунти). Всего, к баг-баунти приложения Дія были привлечены 84 специалистов, которые соответствуют заданным критериям, 14 из которых – украинцы.
Аватар Skibair Ирина Скиба / Skibair
Журналист AOinform

01.01.2021 в 22:09 11249 IT
5.0 // 1
Сегодня читают
Комментариев: 0
Оставляя комментарий на нашем сайте, пожалуйста, помните о том, что содержание и тон Вашего сообщения могут задеть чувства реальных людей, непосредственно или косвенно имеющих отношение к данной новости. Проявляйте уважение и толерантность к своим собеседникам даже в том случае, если Вы не разделяете их мнение. Пользователи, которые систематически нарушают правила, а также размещают спам — будут заблокированы!
avatar