USD28.2033

В «Дії» не выявили уязвимостей, которые бы влияли на безопасность

В «Дії» не выявили уязвимостей, которые бы влияли на безопасность

Министерство цифровой трансформации на платформе Bugcrowd при поддержке Агентства по международному развитию США (USAID) провело тестирование на нахождение возможных ошибок в приложении "Дія".

Как передает Укринформ, об этом сообщает пресс-служба ведомства.

В приложении не выявили уязвимостей, которые бы влияли на безопасность. Нашли два технических бага самого низкого уровня, которые сразу были исправлены специалистами проекта "Дія". В частности, было выявлено: возможность сгенерировать такой QR-код, при считывании которого мобильное приложение вылетает с ошибкой (самый низкий из возможных приоритет уровня P5) и возможность получения информации о полисе страхования автотранспорта пользователя при модификации приложения, если известен государственный номер транспортного средства и VIN-код (приоритет уровня P4 – неспецифицированная особенность работы облачных API). Команда "Дії" уже исправила эти уязвимости.

"Команда Минцифры обеспечивает очень высокий уровень надежности данных и регулярно улучшает безопасность продуктов. "Дія" – наиболее безопасный продукт, который создавался за последние годы. Чтобы это доказать, мы провели багбаунти приложения "Дія". Привлеченные специалисты предоставили информацию о потенциально найденных уязвимостях, которые не касаются и не влияют непосредственно на работу мобильного приложения "Дія" либо API его серверной части", – заявил вице-премьер-министр – министр цифровой трансформации Украины Михаил Федоров.

Читайте также:

Телескоп NASA показал группу галактик в созвездии Журавль

Представители платформы Bugcrowd сообщили, что специалисты по выявлению уязвимости уровня P4 получат по 250 долларов из общего призового фонда, который составил 35 тыс. долларов. За выявление бага самого низкого уровня P5, определенного как информационный, по условиям программы выплата средств не предусматривалась.

Анализ логов, полученных во время кампании, показал, что специалисты выполнили попытки выявить уязвимости, которые подпадают под такие категории (согласно классификации OWASP): Injection, Broken Authentication, Sensitive Data Exposure, Broken Access Control, Security Misconfiguration, Insecure Deserialization и Using Components with Known Vulnerabilities.

Читайте также:

Криптовалюта Dogecoin подорожала на 20% после твита Маска

Также было проверено API и протокол взаимодействия с партнерскими организациями по отправке электронных версий документов с мобильного приложения "Дія".

Специалисты (рисерчеры), которые участвовали в Bug Bounty, получили всю надлежащую документацию с высокоуровневым описанием архитектуры, организации работы и API облачных сервисов и мобильного приложения "Дія".

Предоставленные версии мобильного приложения и API облачных сервисов идентичны имеющимся в продуктивной среде на момент старта программы Bug Bounty. Единственные отличия заключались в использовании эмуляции работы государственных реестров и аутентификации средствами BankId. Причина таких изменений – имеющиеся ограничения в действующем законодательстве и необходимость обеспечения привлеченным специалистам условий safe harbor, то есть предоставление гарантий, что попытки тестовых атак на мобильное приложение и сервисные API не будут и не могут рассматриваться как нарушение 361-й статьи Уголовного кодекса Украины (несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей либо сетей электросвязи). 

Как сообщал Укринформ, Министерство цифровой трансформации запустило багбаунти по поиску уязвимостей в приложении "Дія" 8 декабря 2020 года. Для поиска уязвимостей в "Дії" была создана тестовая версия приложения, в которой не было персональных данных пользователей и в которой отсутствовала какая-либо информация о пользователях. Общий призовой фонд багбаунти "Дії" составил почти 1 млн грн.

Очень плохоПлохоСреднеХорошоОтлично (Еще нет голосов, оставьте первым)
Загрузка...

Комментарии (0)

    Чтобы оставить комментарий необходимо

    "Политики как пелёнки. Их надо менять регулярно; причём по той же самой причине."

    © Автор неизвестен

    Цього року вінничани зможуть отримувати у Прозорих офісах міста 50 видів онлайн-послуг

    Все больницы, имеющие договор с Нацслужбой здоровья, могут принимать COVID-больных – Кузин

    Створюємо єдину систему автоматизації процесів

    Вінничанка Ірина Буй – чемпіонка світу з біатлону!

    У Вінниці заради безпеки пішоходів створять спеціальну робочу групу 

    “Три миллиона для неудачника Шевченко? Что за кретины. Пусть ищет дураков в Киеве”: польские фанаты негодуют от запросов украинца

    Глава Минобороны Литвы ответил на “самый частый вопрос”: почему они за Украину

    Вышел первый тизер сериала «Властелин колец»

    Хворобливі мрії. Путін має намір відсвяткувати 100-річчя від дня заснування СРСР створенням нової Російської імперії – Волкер

    У Вінницькій області впродовж минулої доби виявили 969 випадків COVID-19

    Помер “український Нік Вуйчич” – волонтер Антон Дубішин

    Космический телескоп James Webb развернул все свои зеркала

    Судья по делу Порошенко ушел в отпуск

    Песков заговорил о возобновлении “гражданской войны” в Украине из-за угроз отключения РФ от SWIFT

    НАБУ заявляет, что не имеет отношения к «письмам счастья» с обещаниями денег за персональные данные

    Преграда для самолетов: авиакомпании приостанавливают некоторые рейсы в США из-за 5G

    Украина теперь может получить американские “Стингеры” – Reuters

    Украинский космодром могут построить на берегу Черного моря – уже нашли место

    Финляндия: Жесткие санкции при вторжении России в Украину будут, заявка в НАТО – вряд ли

    Ще Черчилль чітко пояснював: “Ви не можете домовлятися з тигром, коли ваша голова у нього в пащі”, – Андрій Миселюк