З 8 по 15 грудня білі хакери шукали уразливість та діри у безпеці державного мобільного застосунку Дія. І ось Мінцифра оголосила про результати, мабуть, найбільш очікуваного Bug Bounty (багбаунті) в історії України.
- Хакери захоплюють розумні пристрої та зламують їх на очах у поліції
- Автомобілі збирають більше конфіденційних даних, ніж ми думаємо
- Роботи Boston Dynamics показали нове уміння
Під час багбаунті етичні хакери не виявили уразливостей, які б впливали на безпеку Дії. Але знайшли 2 технічні баги найнижчого рівня, які одразу були виправлені фахівцями.
Результати багбаунті додатку Дія
- Можливості згенерувати такий QR-код, при зчитуванні якого мобільний застосунок вилітає з помилкою.
Рівень вразливості – P5 (інформаційний), найнижчий.
Виплата не передбачається. - Можливості отримання інформації про поліс страхування автотранспорту користувача при модифікації застосунку, якщо відомий державний номер транспортного засобу та VIN-код. Така інформація доступна у відкритому доступі, наприклад, за посиланням, та не містить ніяких даних користувача чи сервісу Дія, які можна віднести до тих, що підпадають під захист Закону «Про захист персональних даних».
Рівень вразливості – P4 (неспецифікована особливість роботи хмарних API, що не призводить до витоку чутливої інформації).
Спеціалісти отримають $ 250 із загального призового фонду, що становив $ 35 000.
Аналіз логів, отриманих під час кампанії, показав, що фахівцями були виконані спроби виявити уразливості, які підпадають під такі категорії (відповідно до класифікації OWASP):
- Injection
- Broken Authentication
- Sensitive Data Exposure
- Broken Access Control
- Security Misconfiguration
- Insecure Deserialization
- Using Components with Known Vulnerabilities
Також було перевірено API та протокол взаємодії з партнерськими організаціями з надсилання електронних версій документів з мобільного застосунку Дія. Багбаунті проводило Міністерство цифрової трансформації на міжнародній платформі Bugcrowd за підтримки агентства з міжнародного розвитку США (USAID).