Михайло Федоров: Вдруге хакерам не вдалося знайти жодних критичних вразливостей застосунку Дія


Лютий 02
19:04 2022

У липні 2021 року Мінцифри запустило Bug Bounty копії застосунку Дія з призовим фондом 1 млн грн. За пів року тестування вразливостей, які б впливали на безпеку застосунку, так і не знайшли.

«На сьогодні Дія — найбезпечніший продукт в Україні. Ми постійно це перевіряємо та підтверджуємо, оскільки захист та безпека користувачів — наш топ-пріоритет. Ми вдруге провели Bug Bounty застосунку, і вдруге хакерам не вдалося знайти жодних критичних вразливостей. Система захисту оновлюється відповідно до нових викликів», — зазначив Віце-прем’єр-міністр — Міністр цифрової трансформації Михайло Федоров.

Спеціально для Bug Bounty Мінцифри створило окреме середовище застосунку Дія, що не має зв’язку з банками, комерційними партнерами та держреєстрами. 329 хакерів виявили бажання отримати акаунти для входу до цього середовища. З них 36 подали 66 заявок про можливі вразливості.

Серед заявок: 

Що знайшли: 

«Найважчі» вразливості, які знайшли, рівня Р3. Вони були пов’язані з тестовим середовищем BugCrowd і до продуктового середовища Дії не мають стосунку. Виявили можливість отримати доступ до документації АРІ тестового сервісу Дія та входу будь-яким тестовим користувачем через налагоджувальне АPI. Хакери отримали винагороду в розмірі $700 та $750 відповідно.

Один з учасників знайшов вразливість передостаннього рівня — P4. Вона пов’язана з можливістю підмінити назву банку після авторизації в ньому. Ця проблема не становить загрози для користувача, крім неправильної інформації на екрані. До того ж, щоб скористатись такою потенційною вразливістю, зловмиснику спершу треба отримати повний доступ до смартфона користувача. Проблему розв’язано завдяки впровадженню додаткових перевірок та виправленню API. За цю вразливість виплатили 250$.

Також знайшли можливість підставити свої екрани поверх Дії (виконати фішинг) завдяки спеціальному застосунку на Android. Для того, щоб зробити це, треба мати безпосередній доступ до телефону, і користувач повинен встановити спеціальний софт. Але розробники Дії оцінили підхід рісерчера до проблеми: він надав тестовий зразок такого застосунку та відеозапис його використання. Проблему усунули в одному з апдейтів Дії. Рісерчер отримав 200$.

Подібні тестування — стандартна практика для іноземних країн. Такі тести постійно проводять компанії Apple, Google, Facebook, Twitter, Microsoft. Реалізація багбаунті відбулася за підтримки міжнародної платформи Bugcrowd та проекту Агентства з міжнародного розвитку США (USAID) «Кібербезпека критично важливої інфраструктури України».

Поділитися
Напишіть коментар

Ваша електронна адреса не буде опублікована.
Обов'язкові поля позначені*

Популярні категории

Останні новини

ДПС, проєкт UK DIGIT та Фонд Східна Європа посилюють цифрову трансформацію податкових сервісів

Прочитайте повну статтю

Обсяг офіційних розрахунків через РРО та ПРРО цьогоріч вже перевищив 3,1 трлн грн

Прочитайте повну статтю

Затверджено нові форми Податкового розрахунку: коли і за які періоди звітувати

Прочитайте повну статтю

Переробна промисловість – лідер за сплатою податків у першому півріччі 2026 року

Прочитайте повну статтю

Майже 149 млрд грн до бюджету: державні підприємства збільшили сплату податків

Прочитайте повну статтю

Куди звернутися військовим, ветеранам та членам їхніх родин у разі порушення фінансових прав

Прочитайте повну статтю

Майже 40% шлюбів в Україні у першому півріччі 2026 року зареєстровано онлайн

Прочитайте повну статтю

Особливості укладення договору оренди (найму) житла

Прочитайте повну статтю
Ми використовуємо cookies
Погоджуюсь