Новини
Застосунок Дія пройшов перевірку етичними хакерами
У липні 2021 року Мінцифра запустила Bug Bounty копії застосунку Дія з призовим фондом 1 млн грн. За пів року тестування вразливостей, які б впливали на безпеку застосунку, так і не знайшли.
- Шахраї вкрали смартфон з додатком Дія і оформили кредитів на 40 тисяч гривень
- В застосунку Дія зʼявився ковідний сертифікат про бустерну дозу
- Українці від 14 років зможуть отримати гроші за вакцинацію через «єПідтримка»
«На сьогодні Дія — найбезпечніший продукт в Україні. Ми постійно це перевіряємо та підтверджуємо, оскільки захист та безпека користувачів — наш топ-пріоритет. Ми вдруге провели Bug Bounty застосунку, і вдруге хакерам не вдалося знайти жодних критичних вразливостей. Система захисту оновлюється згідно нових викликів».
Михайло Федоров,
Віцепрем’єр-міністр — Міністр цифрової трансформації
Спеціально для Bug Bounty Мінцифра створила окреме середовище застосунку Дія, що не має зв’язку з банками, комерційними партнерами та держреєстрами. 329 хакерів виявили бажання отримати акаунти для входу до цього середовища. З них 36 подали 66 заявок про можливі вразливості.
Серед заявок:
- 42 було відхилено через невідповідність вимогам Вug Вounty,
- 10 заявок мали інформаційний характер,
- 7 дублікатів і всього 7 відповідали критеріям.
У результаті 4 хакери отримали сумарно винагороду в розмірі $ 1 900. А 3 заявки мали інформаційний характер та винагороди не отримали.
Що знайшли у застосунку Дія:
«Найважчі» вразливості, які знайшли, рівня Р3. Вони були пов’язані з тестовим середовищем BugCrowd і до продуктового середовища Дії не мають стосунку. Виявили можливість отримати доступ до документації АРІ тестового сервісу Дія та входу будь-яким тестовим користувачем через налагоджувальне АPI. Хакери отримали винагороду в розмірі $ 700 та $ 750 відповідно.
Один з учасників знайшов вразливість передостаннього рівня — P4. Вона пов’язана з можливістю підмінити назву банку після авторизації в ньому. Ця проблема не становить загрози для користувача, крім неправильної інформації на екрані. До того ж, щоб скористатись такою потенційною вразливістю, зловмиснику спершу треба отримати повний доступ до смартфона користувача. Проблему розв’язано завдяки впровадженню додаткових перевірок та виправленню API. За цю вразливість виплатили $ 250.
Також знайшли можливість підставити свої екрани поверх Дії (виконати фішинг) завдяки спеціальному застосунку на Android. Для того, щоб зробити це, треба мати безпосередній доступ до телефона, і користувач повинен встановити спеціальний софт. Але розробники Дії оцінили підхід до проблеми: він надав тестовий зразок такого застосунку та відеозапис його використання. Проблему усунули в одному з апдейтів Дії. Хакер отримав $ 200.
Подібні тестування — стандартна практика для іноземних країн. Такі тести постійно проводять компанії Apple, Google, Facebook, Twitter, Microsoft. Реалізація багбаунті відбулася за підтримки міжнародної платформи Bugcrowd та проєкту Агентства з міжнародного розвитку США (USAID) «Кібербезпека критично важливої інфраструктури України».
Правила коментування
Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.
- Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
- На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
- Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
- Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
- Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
- Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
- Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.
Схожі новини
Важливість SEO для сучасного бізнесу
Для ефективної реалізації своїх товарів і послуг недостатньо просто мати сайт. Важливо, щоб користувачі могли легко знайти його в інтернеті та були мотивовані залишитись на ньому та виконати цільову дію. Досягти цієї мети допомагає Search Engine Optimization — процес оптимізації сайту для покращення його видимості в Google. Далі ми дізнаємося, чому SEO просування стає дедалі […]
Чому в кіно часто дарують квіти: романтика, символіка і вплив на глядачів
Квіти в кіно стали незмінним символом романтики та почуттів. Вони допомагають героям виражати те, що важко передати словами, додаючи сценам особливого настрою. Якщо хочете створити подібну атмосферу у своєму житті, варто задуматися, де можна замовити тюльпани для особливих моментів – цей крок не тільки подарує радість, але й допоможе створити незабутні спогади. Підписуйтесь на наш […]