При багбаунти приложения «Дія» белые хакеры нашли только два бага

В пресс-службе приложения «Дія» поделились итогами декабрьского багбаунти – белые (или этические) хакеры не обнаружили уязвимостей, которые бы влияли на безопасность работы приложения

Было обнаружено всего два бага низких уровней, которые сразу были исправлены, сообщает «Дія».

Первый баг – возможность сгенерировать такой QR-код, чтобы при считывании приложение вылетало с ошибкой. Этот баг относился к самому низкому уровню уязвимости P5 (информационный) и не привел к выплате вознаграждения.

Второй баг, за нахождение которого заплатили 250 долларов, - возможность получения информации о полисе страхования автотранспорта пользователя при модификации приложения, если известен государственный номер транспортного средства и VIN-код. Эта функция была доступна в интернете и без «Дія». Поэтому уровень уязвимости определили, как P4 (не приводит к утечке чувствительной информации).

Общий призовой фонд составлял 35 тысяч долларов.

Багбаунти было проведено Минцифрой на международной платформе Bugcrowd при поддержке агентства по международному развитию США (USAID).

Читайте также

• 28 ноября Минцифры анонсировало проведение багбаунти для хакеров со всего мира. Взламывать и искать баги будут в приложении «Дія», а призовой фонд составит 35 тысяч долларов или 1 миллион гривень.
• 10 октября Федоров уже анонсировал, что Минцифры планирует предложить «белым хакерам» сломать ее копию: «Мы с ноября месяца запускаем bug bounty, мы собираем белых хакеров, мы делаем копию "Дії" и будем предоставлять возможность ее сломать. «Белые» хакеры собираются в одном месте и могут взламывать наш продукт, и тот, кто взломает - получит миллион в приз», — заявил министр.
• 5 октября Министр цифровой трансформации Михаил Федоров представил приложение «Дія 2.0».