Мінцифри оголосило результати другого Bug Bounty «Дії»: 4 хакери отримали сумарну винагороду $1900

Міністерство цифрової трансформації оголосило результати другого Bug Bounty копії застосунку «Дія» з призовим фондом 1 млн грн, яке воно запустило ще в липні 2021 року. За пів року тестування вразливостей, які б впливали на безпеку застосунку, так і не знайшли, запевняють у відомстві.

«На сьогодні „Дія“ — найбезпечніший продукт в Україні. Ми постійно це перевіряємо та підтверджуємо, оскільки захист та безпека користувачів — наш топ-пріоритет. Ми вдруге провели Bug Bounty застосунку, і вдруге хакерам не вдалося знайти жодних критичних вразливостей. Система захисту оновлюється, згідно з новими викликами», — заявив глава Мінцифри Михайло Федоров.

Як проводили Bug Bounty та хто до нього долучився

За даними міністерства, спеціально для Bug Bounty було створено окреме середовище застосунку «Дія», що не має зв’язку з банками, комерційними партнерами та державними реєстрами.

При цьому 329 хакерів виявили бажання отримати акаунти для входу до цього середовища. З них 36 подали 66 заявок про можливі вразливості.

Водночас серед заявок:

  • 42 відхилили через невідповідність вимогам Вug Вounty;
  • 10 мали інформаційний характер;
  • 7 дублікатів;
  • 7 відповідали критеріям.
«У результаті 4 хакери отримали сумарно винагороду в розмірі $1900. А 3 заявки мали інформаційний характер та винагороди не отримали», — йдеться в релізі.

Які вразливості виявили

Як розповіли в Мінцифри, «найважчі» вразливості, які знайшли, рівня Р3. Вони були пов’язані з тестовим середовищем BugCrowd і до продуктового середовища «Дії» нібито не мають стосунку. Зокрема, виявили можливість отримати доступ до документації АРІ тестового сервісу «Дія» та входу будь-яким тестовим користувачем через налагоджувальне АPI. За ці баги хакери отримали винагороду в розмірі $700 та $750 відповідно.

Також один із учасників знайшов вразливість передостаннього рівня — P4. Вона пов’язана з можливістю підмінити назву банку після авторизації в ньому.

Як запевнили в відомстві, ця проблема не становить загрози для користувача, крім неправильної інформації на екрані. До того ж, щоб скористатись такою потенційною вразливістю, зловмиснику спершу треба отримати повний доступ до смартфона користувача. Проблему розв’язано завдяки впровадженню додаткових перевірок та виправленню API. За цю вразливість виплатили 250$.

Крім того, знайшли можливість підставити свої екрани поверх «Дії» (виконати фішинг) завдяки спеціальному застосунку на Android. Для того, щоб зробити це, треба мати безпосередній доступ до телефону, і користувач повинен встановити спеціальний софт.

«Але розробники „Дії“ оцінили підхід рісерчера до проблеми: він надав тестовий зразок такого застосунку та відеозапис його використання. Проблему усунули в одному з апдейтів „Дії“. Рісерчер отримав 200$», — доповіли в Мінцифри.

Там також додали, що реалізація багбаунті відбулася за підтримки міжнародної платформи Bugcrowd та проєкту Агентства з міжнародного розвитку США (USAID) «Кібербезпека критично важливої інфраструктури України».

Про масштабний злив даних із «Дії»

22 січня 2022 року стало відомо про продаж даних двох мільйонів українців, що начебто зберігались сервісом «Дія». Їх виставили за 15 тисяч доларів США на форумі RAID й інших порталах. Пізніше, за твердженням IT-спеціалістів, які розбирали цю тему, до вже злитої бази додались дані з реєстру edriver.

Цьому передувала масштабна кібератака на державні інформаційні ресурси 13–14 січня. За словами голови Держспецзв’язку Юрія Щиголя, від атаки постраждали майже 70 сайтів центральних і регіональних органів влади. 23 січня Кіберполіція заперечила злом порталу «Дія» та зазначила, що повідомлення про витік даних не пов’язане з цією кібератакою.

Водночас посадовці витік даних не визнали. Зокрема, в Міністерстві цифрової трансформації назвали інформацію про продаж бази даних провокацією та продовженням гібридної війни.

На DOU Software Architect і блогер Володимир Рожков створив топік з обговоренням цієї теми. Користувачі форуму наразі зазначають, що ціна злитої бази даних досягла 80 тисяч доларів і, вірогідно, таки знайшовся покупець, адже лінк на продаж уже начебто недійсний.

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Доброго дня. Bug Bounty уже не діє ? Готовий повідомити про помилку продукту за винагороду. Виявлена вчора і має дуже високий рівень небезпеки. Доступна зараз для людей.

Без зрілих ІТ та секюріті процесів ніякий баг баунті не допоможе... Як відомо хакнули через адмінський акаунт підрядника який використовувася на усіх сайтах, тобто ні системи прилегійованого доступу (PIM/PAM) ні 24/7 секюріті моніторингу, ні зрилих Vulnerability- Change-, Account- etc процесів немає. Фіксаємо гарну браму в полі без паркану....

Что-то мне подсказывает, именно результатами баг-баунти и воспользовались, чтобы ломануть Дию. Потому что сам процесс баунти ломануть куда проще.

А чё, норм тема. Ставишь 3 копейки за Bug Bounty, отчитываешься о том, что ничего не нашли ... PROFIT.

Ржав вголос. «Найбезпечніший продукт в Україні». Які ж вони там в мінцифрі недолугі.

Які ж вони там в мінцифрі

вот за другие министры и прочих щас абыдна была

Перепрошую, якщо образив, але саме таке враження складається про це міністерство

А тут может быть как в анекдоте, со дна постучали, я так понимаю что они имели ввиду все их продукты гос сектора.

Дальше — больше ©

Недавно була історія з тим як на програміста в суд подали і погрожували розправою за те, що він проінформував держ організацію про дирки безпеки. Зараз в винагороду за знаходження дірок, яких не мало бути, в сервісі національного рівня платять по 500 доларів. Міністерство діджиталізації дійсно досягає революційних досягнень.

500 доларів в середньому на 1 спеціаліста з кібербезпеки?
тоді зрозуміло, чому базу злили.

Чотири хакери отримали заохочувальні грошові призи і один хакер отримав головний приз — дамп бази даних.

XSS

це не банальність

мізерні виплати

це вам не 150 цукерок в спортивній сумці в трухіна

это шутка?

ну хоч посміємся

Приват так делал
Найди баг -запишем в хакеры и засудим

А базу дії реальні хакери за скільки продали? :D

Жалкие позорники. Тестите наше дырявое ведро за 3 копейки)))

Мінцифри таке:
— Ось! Дивіться! В кишені штанів все ціле, ні однієї дірки! Ми перевірили все круто.
Штани:
<репнули від гульфіка до пояса через усю сраку>.

і з розірваних штанів вилилося лайно

Another hero, another mindless crime
Behind the curtain, in the pantomime
Hold the line

«ДЕШЕВА РИБКА — ПОГАНА ЮШКА» ©

Підписатись на коментарі