$250 заместо миллиона. Поиск уязвимостей в Дие завершился провалом для «белоснежных» взломщиков

30.12.2020, 18:35 0 0 Фото: thedigital.gov.ua

В декабре команда Министерства цифровой трансформации при поддержке агентства по интернациональному развитию США (USAID) провела на платформе Bugcrowd тестирование сервиса Дия. Уязвимостей, которые бы влияли на сохранность не было найдено. Хакеры смогли найти лишь два технических бага низкого уровня, которые сходу были исправлены разрабами Дия, говорится на веб-сайте Минцифры.

Подписывайтесь на LIGA.Tech в Facebook: главные анонсы о разработках

Посреди отысканных во время багбаунти багов ведомство отмечает последующие пункты:

  • Возможность сгенерировать таковой QR-код, при считывании которого мобильное приложение вылетает с ошибкой. Эта неувязка не влияет на сохранность данных юзеров, потому получила самый маленький ценность уровня P5.
  • Возможность получения инфы о полисе страхования кара юзера при модификации приложения, если известен госномер авто и VIN-код. Так как эта информация и так есть в открытом доступе и не содержит данных юзера либо сервиса, которые бы подпадали под защиту Закона «О защите индивидуальных данных «, таковая уязвимость получила уровень P4.

Представители платформы Bugcrowd сказали, что спецы, выявившие уязвимость уровня P4 получат $250 из общего призового фонда, который составил $35 000. Обнаружение бага уровня P5 по условиям программки не предусматривало выплат из призового фонда.

Баг-баунти (Bug Bounty) – это процесс, в каком компания завлекает посторониих профессионалов по кибербезопасности для тестирования собственного программного обеспечения на уязвимости. За каждую найденную уязвимость (баг) люди получают вознаграждение (баунти).

Всего, к баг-баунти приложения Дія были привлечены 84 профессионалов, которые соответствуют данным аспектам, 14 из которых – украинцы.

Источник

Author: Anonim