Про результати багбаунті повідомили на офіційному веб-сайті Мінцифри.
Так, у грудні 2020 року команда Мінцифри за підтримки агентства з міжнародного розвитку США провела змагання між IT-спеціалістами на знаходження можливих помилок у “Дії”. Bug Bounty проводилося з восьмого по 15 грудня на платформі Bugcrowd.
За цей час фахівці не виявили у застосунку “Дія”не виявили вразливостей, які б впливали на безпеку. Однак під час Bug Bounty вдалось відшукати два технічні баги найнижчого рівня, а саме:
- можливість згенерувати такий QR-код, при зчитуванні якого мобільний застосунок вилітає з помилкою;
- можливість отримання інформації про поліс страхування автотранспорту користувача при модифікації застосунку, якщо відомий державний номер транспортного засобу та VIN-код.
Спеціалісти Мінцифри вже проаналізували та виправили зазначені помилки.
Зазначимо, що під час багбаунті хакери працювали з “тестовим застосуноком”, а отже в учасників не було доступу до реальних персональних даних громадян.
Нагадаємо, що Мінцифри виділило 1 млн грн на винагороди хакерам, які зможуть зламати мобільний застосунок “Дія”. Однак через те, що виявлені несправності не впливали на безпеку (вразливість рівня Р4), то спеціалісти отримають за них всього $250.
Читайте також: Кібер-злодій відправиться до реальної в’язниці. Він продавав унікальне програмне забезпечення