1000 учасників і $750 максимальної винагороди. Як минув Bug Bounty від monobank

Нещодавно monobank організував перший за шість років Bug Bounty, який тривав з 17 листопада до 1 грудня. Chief Information Officer Fintech Band Максим Пугач у коментарі для Forbes розповів про результати цього хакатону.

👨🏻‍💻 Скільки було учасників

За словами Максима Пугача, заявки на участь у програмі пошуку вразливостей подали майже 1000 учасників. На наступний етап перейшли 275 людей. Вони підписали NDA з компанією. Для цього використовували застосунок «Дія», зокрема для того, щоб відсіяти громадян країни-агресора. Активно брали участь в Bug Bounty 23 хантери, які подали 46 звітів.

🪲 Про вразливості й винагороди

Вразливостей критичного рівня (Р1) учасники не виявили, але знайшли дві вразливості високого рівня (Р2), одну середнього (Р3) і шість найнижчого (Р4).

Найбільша винагорода, яку monobank виплатить за результатами Bug Bounty, — $750 за знайдену вразливість другого рівня. За знайдені вразливості третього рівня (Р3) хантери отримають по $500, а за вразливості четвертого рівня (Р4) — $250. Додатково усім учасникам виплатять по $100.

Як додав Максим Пугач, загальний призовий фонд програми Bug Bounty від mono склав $6800. Наступний такий хакатон планують провести через рік або два, залежно від появи нових функцій у застосунку.


Нагадаємо, під час інтервʼю для YouTube-каналу DOU співзасновник monobank Михайло Рогальський розповів, що його команда зараз працює над окремим застосунком Expirenza. У ньому можна буде оплатити рахунок у закладі, зберегти перелік улюблених страв і пригостити друзів.

Все про українське ІТ в телеграмі — підписуйтеся на канал DOU

👍ПодобаєтьсяСподобалось4
До обраногоВ обраному0
LinkedIn



8 коментарів

Підписатись на коментаріВідписатись від коментарів Коментарі можуть залишати тільки користувачі з підтвердженими акаунтами.

На одному з проектів вводив BugBounty програму і підтримував її декілька років.
Нормальні вразливості почали знаходити зовсім не відразу, а через декілька ітерацій фідбеків по середовищу, також Тестувальникам потрібен час, щоб зрозуміти як все працює і організовано. Не дуже уявляю як за 2 тижні це все встигнути.
Ну і виплати смішні — професіонали не будуть витрачати купу часу щоб потім 750$ можливо отримати а можливо і ні.
У нас були більші виплати, при тому що це навіть не фінансовий проект був. Для Банківських проектів рекомендувалося виплачувати на порядки більші винагороди.

Я можу пояснити, чтому було знайдено так мало вразливостей.
Час життя сесії REST запитів на тестовому середовищі обмежили 40 секундами. Тобто у тестувальника було 40 секунд, щоб проаналізувати результати попередньго запиту, змінити його і зробити повторний. Віглядає як навмисні перешкоди, які не дозволяють ефективно шукати вразливості. Особисто я помучився так пару годин, написав листа організаторам з проханням підняти час життя сессії, але мені відмовили. Тому я забив на подальші спроби щось знайти.

Я би сказав, що це не найбільша проблема, скоріше незручність.
Оскільки після хакатону не збирали ніякий фідбек, то напишу тут. На мій погляд були дві найбільші недоліки під час проведення:
— Вирізаний або непрацюючий функціонал, бо відчуттях відсотків 30
— Конфігураційно різний stage і prod. Для прикладу один з моїх звітів було відхилено, з мотивацією, що на проді працює по іншому. І тепер мене чекає довгий шлях по доведенню існування вразливості(чи її відсутності) на проді ризикуючи власним живим акаунтом. Це не кажучи, що треба купити окремий девайс(але на гроші з премії, бо один з P4 мій) поставити jailbreak, виключити ssl.

Так, згоден з тим, що багато функціоналу не працювало. Я б навіть додав, що критичного функціоналу, такого, як фінансові операції: поповнення телефону, комунальні платежі, депозити і тд. По факту працював тільки перевод між рахунками. Звісно, що цей весь функціонал не був протестований.

Привіт, а ви отримали виплату вже?

Аналогічно, досі нічого не отримав. Мабуть вже «після свят» 😏

Все правда, я знайшов баг високого рівня випадково за 2 дня до баг баунті і його прийняли :)
Дякую монобанку, чудова ініціатива!

Підписатись на коментарі