USD28.2033

В «Дії» не выявили уязвимостей, которые бы влияли на безопасность

В «Дії» не выявили уязвимостей, которые бы влияли на безопасность

Министерство цифровой трансформации на платформе Bugcrowd при поддержке Агентства по международному развитию США (USAID) провело тестирование на нахождение возможных ошибок в приложении "Дія".

Как передает Укринформ, об этом сообщает пресс-служба ведомства.

В приложении не выявили уязвимостей, которые бы влияли на безопасность. Нашли два технических бага самого низкого уровня, которые сразу были исправлены специалистами проекта "Дія". В частности, было выявлено: возможность сгенерировать такой QR-код, при считывании которого мобильное приложение вылетает с ошибкой (самый низкий из возможных приоритет уровня P5) и возможность получения информации о полисе страхования автотранспорта пользователя при модификации приложения, если известен государственный номер транспортного средства и VIN-код (приоритет уровня P4 – неспецифицированная особенность работы облачных API). Команда "Дії" уже исправила эти уязвимости.

"Команда Минцифры обеспечивает очень высокий уровень надежности данных и регулярно улучшает безопасность продуктов. "Дія" – наиболее безопасный продукт, который создавался за последние годы. Чтобы это доказать, мы провели багбаунти приложения "Дія". Привлеченные специалисты предоставили информацию о потенциально найденных уязвимостях, которые не касаются и не влияют непосредственно на работу мобильного приложения "Дія" либо API его серверной части", – заявил вице-премьер-министр – министр цифровой трансформации Украины Михаил Федоров.

Читайте также:

Япония планирует отказаться от продаж авто с бензиновыми двигателями

Представители платформы Bugcrowd сообщили, что специалисты по выявлению уязвимости уровня P4 получат по 250 долларов из общего призового фонда, который составил 35 тыс. долларов. За выявление бага самого низкого уровня P5, определенного как информационный, по условиям программы выплата средств не предусматривалась.

Анализ логов, полученных во время кампании, показал, что специалисты выполнили попытки выявить уязвимости, которые подпадают под такие категории (согласно классификации OWASP): Injection, Broken Authentication, Sensitive Data Exposure, Broken Access Control, Security Misconfiguration, Insecure Deserialization и Using Components with Known Vulnerabilities.

Читайте также:

США испытали беспилотник, который можно запускать и ловить в полете

Также было проверено API и протокол взаимодействия с партнерскими организациями по отправке электронных версий документов с мобильного приложения "Дія".

Специалисты (рисерчеры), которые участвовали в Bug Bounty, получили всю надлежащую документацию с высокоуровневым описанием архитектуры, организации работы и API облачных сервисов и мобильного приложения "Дія".

Предоставленные версии мобильного приложения и API облачных сервисов идентичны имеющимся в продуктивной среде на момент старта программы Bug Bounty. Единственные отличия заключались в использовании эмуляции работы государственных реестров и аутентификации средствами BankId. Причина таких изменений – имеющиеся ограничения в действующем законодательстве и необходимость обеспечения привлеченным специалистам условий safe harbor, то есть предоставление гарантий, что попытки тестовых атак на мобильное приложение и сервисные API не будут и не могут рассматриваться как нарушение 361-й статьи Уголовного кодекса Украины (несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей либо сетей электросвязи). 

Как сообщал Укринформ, Министерство цифровой трансформации запустило багбаунти по поиску уязвимостей в приложении "Дія" 8 декабря 2020 года. Для поиска уязвимостей в "Дії" была создана тестовая версия приложения, в которой не было персональных данных пользователей и в которой отсутствовала какая-либо информация о пользователях. Общий призовой фонд багбаунти "Дії" составил почти 1 млн грн.

Очень плохоПлохоСреднеХорошоОтлично (Еще нет голосов, оставьте первым)
Загрузка...

Комментарии (0)

    Чтобы оставить комментарий необходимо

    "Власть чаще переходит из рук в руки, чем из головы в голову."

    © Станислав Ежи Лец

    Україна виходить з локдауну: повний список обмежень з 25 січня

    SpaceX планирует осуществить массовый запуск в истории космонавтики

    Российский онлайн-ритейлер “Wildberries» будет внесен в санкционный список – Госкомтелерадио

    Розбірки в СБУ почались через контроль за грошовими потоками, – журналіст

    Google прекратит раздавать интернет с воздушных шаров в Африке

    Украина может стать разменной монетой для трех супердержав, – американский военный

    В Италии заблокировали TikTok после челленджа, в котором погиб ребенок

    В Украине за сутки – 4 928 случаев коронавируса

    Винні бідні: Вітренко заявив, що саме через субсидії українці платитимуть за газ 6,99, а не 3 грн

    Пожар в Харькове. Четырем задержанным грозит до восьми лет тюрьмы – объявлены подозрения

    Разработали первую в мире домашнюю батарею на водороде

    Почему коты любят валерьянку?

    В Индии искусственный интеллект будет «защищать» женщин от домогательств на улице

    Как рано просыпаться и быстро засыпать: настраиваем свои биологические часы

    Honor представил 5G-смартфон

    В Минсоцполитики просят увеличить финансирование программы субсидий

    Ніщо так не характеризує українця будь-якого часу, як це слово – свобода

    Apple разрабатывает более легкую версию «воздушного» MacBook – СМИ

    Відоме ім’я вояка, якого на фронті вбив російський снайпер

    Америка допоможе, але за нас країну не збудує – дипломат