Мінцифри оголосило результати другого Bug Bounty «Дії»: 4 хакери отримали сумарну винагороду $1900
Міністерство цифрової трансформації оголосило результати другого Bug Bounty копії застосунку «Дія» з призовим фондом 1 млн грн, яке воно запустило ще в липні 2021 року. За пів року тестування вразливостей, які б впливали на безпеку застосунку, так і не знайшли, запевняють у відомстві.
«На сьогодні „Дія“ — найбезпечніший продукт в Україні. Ми постійно це перевіряємо та підтверджуємо, оскільки захист та безпека користувачів — наш топ-пріоритет. Ми вдруге провели Bug Bounty застосунку, і вдруге хакерам не вдалося знайти жодних критичних вразливостей. Система захисту оновлюється, згідно з новими викликами», — заявив глава Мінцифри Михайло Федоров.
Як проводили Bug Bounty та хто до нього долучився
За даними міністерства, спеціально для Bug Bounty було створено окреме середовище застосунку «Дія», що не має зв’язку з банками, комерційними партнерами та державними реєстрами.
При цьому 329 хакерів виявили бажання отримати акаунти для входу до цього середовища. З них 36 подали 66 заявок про можливі вразливості.
Водночас серед заявок:
- 42 відхилили через невідповідність вимогам Вug Вounty;
- 10 мали інформаційний характер;
- 7 дублікатів;
- 7 відповідали критеріям.
«У результаті 4 хакери отримали сумарно винагороду в розмірі $1900. А 3 заявки мали інформаційний характер та винагороди не отримали», — йдеться в релізі.
Які вразливості виявили
Як розповіли в Мінцифри, «найважчі» вразливості, які знайшли, рівня Р3. Вони були пов’язані з тестовим середовищем BugCrowd і до продуктового середовища «Дії» нібито не мають стосунку. Зокрема, виявили можливість отримати доступ до документації АРІ тестового сервісу «Дія» та входу будь-яким тестовим користувачем через налагоджувальне АPI. За ці баги хакери отримали винагороду в розмірі $700 та $750 відповідно.
Також один із учасників знайшов вразливість передостаннього рівня — P4. Вона пов’язана з можливістю підмінити назву банку після авторизації в ньому.
Як запевнили в відомстві, ця проблема не становить загрози для користувача, крім неправильної інформації на екрані. До того ж, щоб скористатись такою потенційною вразливістю, зловмиснику спершу треба отримати повний доступ до смартфона користувача. Проблему розв’язано завдяки впровадженню додаткових перевірок та виправленню API. За цю вразливість виплатили 250$.
Крім того, знайшли можливість підставити свої екрани поверх «Дії» (виконати фішинг) завдяки спеціальному застосунку на Android. Для того, щоб зробити це, треба мати безпосередній доступ до телефону, і користувач повинен встановити спеціальний софт.
«Але розробники „Дії“ оцінили підхід рісерчера до проблеми: він надав тестовий зразок такого застосунку та відеозапис його використання. Проблему усунули в одному з апдейтів „Дії“. Рісерчер отримав 200$», — доповіли в Мінцифри.
Там також додали, що реалізація багбаунті відбулася за підтримки міжнародної платформи Bugcrowd та проєкту Агентства з міжнародного розвитку США (USAID) «Кібербезпека критично важливої інфраструктури України».
Про масштабний злив даних із «Дії»
22 січня 2022 року стало відомо про продаж даних двох мільйонів українців, що начебто зберігались сервісом «Дія». Їх виставили за 15 тисяч доларів США на форумі RAID й інших порталах. Пізніше, за твердженням IT-спеціалістів, які розбирали цю тему, до вже злитої бази додались дані з реєстру edriver.
Цьому передувала масштабна кібератака на державні інформаційні ресурси
Водночас посадовці витік даних не визнали. Зокрема, в Міністерстві цифрової трансформації назвали інформацію про продаж бази даних провокацією та продовженням гібридної війни.
На DOU Software Architect і блогер Володимир Рожков створив топік з обговоренням цієї теми. Користувачі форуму наразі зазначають, що ціна злитої бази даних досягла 80 тисяч доларів і, вірогідно, таки знайшовся покупець, адже лінк на продаж уже начебто недійсний.
25 коментарів
Додати коментар Підписатись на коментаріВідписатись від коментарів