×

Багбаунті Дії: Мінцифра виділила 1 мільйон гривень на призовий фонд. Участь можуть брати всі (upd)

Міністерство цифрової трансформації заявляє, що безпека застосунку «Дія» — один з головних його пріоритетів. Тому воно вдруге запускає багбаунті застосунку з призовим фондом в 1 млн грн ($35 000). Нагороду отримає кожен, хто знайде вразливість у коді, яка буде підтверджена.

«Дія» вже проходила один етап багбаунті у грудні 2020 року. Тоді до нього залучили виключно «етичних хакерів» з усього світу. У другому ж етапі шукати недоліки застосунку зможуть всі охочі, незалежно від досвіду та кваліфікації. Спочатку сервіс потребував підтвердити резидентство України, але тепер дозволяє брати участь і резидентам інших країн.

Що планується на другий етап багбаунті

У другому етапі багбаунті тестуватимуть Дія.Підпис та створення електронних копій документів та їх шерингу. Етап триватиме 6 місяців.

«Ми розуміємо, що неможливо вибудувати суперзахист один раз і бути впевненим, що ніхто не зможе його зламати. Питання кіберзахисту потребує постійного оновлення рішень. Саме це ми й робимо, вдруге запускаючи багбаунті Дії, і даємо можливість кожному протестувати захищеність застосунку та переконатися, що цифрові документи та сервіси — це безпечно. За кожен знайдений баг отримаєте винагороду. Ми робимо все для того, щоб захистити державні сервіси та вибудувати довіру українців до них», — зазначив міністр цифрової трансформації Михайло Федоров.

Усі знайдені вразливості буде аналізувати команда спеціалістів Мінцифри. Якщо знайдена вразливість підтвердиться, вам виплатять винагороду.

Розмір винагороди корелюватиметься категорією складності:
P5 — $0
Мінімальна вразливість (P4) — $200-$250
Критична вразливість (P1) — $4100-$4500

Як все відбуватиметься

Другий етап багбаунті проходитиме на платформі Bugcrowd, як і минулого разу. Зареєструватися можна за посиланням.

Для тестувальників створять копію застосунку Дія. У неї не буде доступу до зовнішніх інформаційних систем: держреєстрів, банківських систем (реєстрація в застосунку відбувається через BankID) та інформаційних систем вендорів (функціонал для шерингу документів).

Реалізацію другого етапу багбаунті підтримує проєкт USAID «Кібербезпека критично важливої інфраструктури в Україні». Керівник проєкту Тімоті Дубел зазначає, що залучення більшої кількості тестувальників застосунку протягом тривалішого терміну допоможе підвищити рівень довіри до Дії та посилити безпечність сервісу.

«Такий крок є невіддільною частиною процесу цифрової трансформації» — наголошує він.

Читайте також: Зацифрувати 100% держпослуг. Як Diia Company досягатиме амбітної цілі та які послуги вже є онлайн

👍ПодобаєтьсяСподобалось1
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Быстрый анализ той версии, которую предлагают проверить с версией, которая сейчас используется реально — unkd.com.ua/...​lyuvannya-za-bagamy-diya

На всякий случай выложили документ по уязвимостям в оригинальной версии, если там что-то захотят экстренно поменять.
Можете сами просканировать тестовую версию и сравнить — сколько компонентов в оригинальной с той, что выложена для проверки.

Щось мені підказує що для відключення функціоналу вони той функціонал закоментили, по одному # або // на рядочок. От і виріс розмір)

В версии для теста присутствует куча сторонних библиотек, которых нет в оригинальной версии. Можете распаковать apk и проверить сами.

Тут любят насмехаться над любыми косяками Дия или другими государственными сервисами, даже если где-то разметка поплыла или с кодировкой где-то проблемы, поднимают такой шум будто нашли критическую уязвимость и начинают рассказывать о «вайтишниках-бездарей которых наняли разрабатывать Дию».

Так что вперед, если дия такая дырявая как вы рассказываете, вперед, доведите это, еще и заработаете немало. Пут йор мани веа йор маус ис как говорится )

Зарплата мідла за найкритичніший баґ, що становитиме загрозу цифровій інфраструктурі цілої країни?

Там взагалі неможливо знайти такий баг, бо на тестовому оточенні той функціонал тупо випилений. Можливо, саме тому, щоб «закладки» бекдорів не знайшли — але показали, дивіться, ми все чесно протестили, публічно.

Там навіть доступу до держреєстрів нема. Навіть до сурогатних копій. Тобто там хіба що граматику української можна потестити.

Там взагалі більше половини функцій вирізано. А що не вирізано — обмежено максимально.

Наприклад, Федоров каже:

Мы хотим, чтобы участники сделали фокус на отдельных вещах, в частности, тестировании нового вида электронной подписи «Дія.Підпис».

Окей, давайте тестувати.

Алгоритм створення Дія.Підпису в продакшн-версії з моїм реальним акаунтом:
1. Зайшов у Дію
2. Натиснув «Створити» Дія.Підпис
3. Пройшов PhotoID
4. PROFIT!

Алгоритм створення Дія.Підпису в тестовому середовищі з тестовим акаунтом Дії Надії Володимирівни:
1. Зайшов у Дію
2. Натиснув «Створити» Дія.Підпис
3. Отримав прохання відсканувати неіснуючу ID-картку Дії Н.В.
4. Без цього не пускає до PhotoID
5. FAIL

Чому на проді сканити ID-картку для створення Дія.Підпису не треба, а на тестовій — треба?

Якщо процес створення Дія.Підпису на проді і в баґбаунті відрізняється алгоритмічно — навіщо взагалі таке баґбаунті?

Саме для того, щоб завідомо закладені під злочини дірки — пропустити. Водночас створивши ілюзію тестування, таким чином показавши що все що могли — зробили.

Чи вже забули історію з сертифіакатом Рябошабки? До речі, той сертифікат так і не анулювали.

А смысл что-то искать, если там изначально включены компоненты с уязвимостями?

С изначально заложенными «уязвимостями». Либо же с дополнительными проверками, которые отключены в реале, как было с сертификатом Рябожабки

Внезапно ты прав. Там действительно заложена уязвимость. Непонятно зачем, но на всякий случай уведомим

USAID

Вангую — мільйон візьмуть собі, як премію за ефективність.

Додали нове робоче посилання на багбаунті Дії: bugcrowd.com/...​asers/frosty-thunder-5079

Прошу викласти інформацію в статті згідно зі сторінкою на Bugcrowd, а саме:
1. Сервіс потребує підтвердити резидентство України (тобто не «Участь можуть брати всі»)
2. Вказати коректні розцінки за знайдені вразливості:
— P5 — $0
— P4 — $200-250

Можливо, якщо зареєструєтесь і підтвердите особу, у самому Bugbounty знайдете ще якісь відмінності.

Потрібен новий upd: додали можливість участі в баґбаунті резидентам інших країн.

Здається, усіх, окрім росії)

японский стыд: обнаруженная 17 часов назад битая ссылка до сих пор не исправлена

Вангую что поправят в понедельник

А потім пани з Мінцифри дивуються, чому їм IT-спільнота не довіряє.

Зважаючи на зрив дедлайну на місяць (за словами Мінцифри — виключно через USAID), хто цього разу наклав в штани Федорову?

А что такое японский стыд? Это когда тот, кто должен был сделать исправление бага, сделал сепуку?

Отлично. А теперь пусть дадут заключение независимой аудиторской компании что в тестовой версии вырезали только доступ а не половину логики.
Иначе это будет не проверка а профанация.

А ты всерьёз полагаешь, что нужна проверка? Не боись, если багов нет (как и функционала), показательно засунут. В последний день. Чтобы их показательно же исправить. То, что их не было на боевом серваке, никого волновать не должно.

Я думаю, їм воно так треба як алкашу Балтика № 0

Президент був готовий заплатити за розробку вакцини $1000 000 коли справжня розробка коштує $1000 000 000, ці ж люди планують залучити мільярдні інвестиції, але bug bounty $37000, та на рекламу ролику youtu.be/NqWOd4koNyI більше мали витратити.

Той момент коли хакерам буде простіше продати вразливість на стороні ніж чекати примарну винагороду.

на рекламу ролику

А на сам ролик грошей не вистачило бо знімали без стабілізатора...

Бо як завжди, перепродали контракт по ієрархії, забравши гроші собі. В результаті знімав школяр за морожено.

Доведеться, з наших українських податків оплачується реклама цього ролику, робота міністра-брехуна та інша ганьба.

так вайтишники же ж не плотят податки в этом же ж цимес ))

Платять ПДВ 20%, це як приховані послуги у мобільних операторів

І не сумнівайся, якщо б раптом хтось розробив (ну гіпотетично, сталося диво), то в Україні ніхто б не дав мільйон доларів, якщо ти не маєш бандитів та юристів щоб захистити це право.

Це так само, як бомж знайшов би 10 000 баксів — кому б вони дісталися? Правильна відповідь — менту. А бомжа б той мусорок убив, щоб багато язиком не патякав. Так само і з вами та обіцяним мільйоном баксів — вас би катували та вбили, щоб отримати рецептуру вакцини. Після чого зарегили її вже в цивільних странах, створивши під це фірму Sobakov LLC.

І я рекомендую таки дізнатися історії людей з якими це вже сталося — до того, як грати з державою в азартні ігри. Бо ви ж не суддя Чаус, за вас журналісти не впишуться.

Трохи смішно, що за один баґ у українському сервісі перевірки англійської платять втричі більше, ніж за весь Bugbounty Дії — критичної цифрової інфраструктури України.

О, ще й посилання на Bugbounty не працює, прекрасно!

Краще вже відсутність диджиталізації, ніж такі диджиталізатори...

🤷 передали в МІнцифри інформацію про неробоче посилання

Анна, а вы что сами не проверяли ссылку перед публикацией текста?

Зареєструватися можна за посиланням.

Це настільки недолуго, що навіть від Мінцирку такого не очікуєш :)

Типу, помпезна заява про старт від Міністра Федорова разом з USAID, цілих $35k призових і... неробоче посилання 🤦‍♂️

Це настільки недолуго, що навіть від Мінцирку такого не очікуєш :)

После мартовского зашквара с .git в паблике? :D

Якщо комусь цікаво, що там було — web.archive.org/...​7b7195e5a8d4d62cfdba9a231

Варто зазначити, що нагороди за P5 не передбачені, тож:

Мінімальна вразливість (P5) — $200-$250

Не правда.

Підписатись на коментарі