$250 вместо миллиона. Поиск уязвимостей в Дие закончился провалом для белых хакеров
Среди найденных во время багбаунти багов ведомство отмечает следующие пункты:
- Возможность сгенерировать такой QR-код, при считывании которого мобильное приложение вылетает с ошибкой. Эта проблема не влияет на безопасность данных пользователей, поэтому получила самый низкий приоритет уровня P5.
- Возможность получения информации о полисе страхования автомобиля пользователя при модификации приложения, если известен госномер авто и VIN-код. Поскольку эта информация и так есть в открытом доступе и не содержит данных пользователя или сервиса, которые бы подпадали под защиту Закона "О защите персональных данных ", такая уязвимость получила уровень P4.
Баг-баунти (Bug Bounty) – это процесс, в котором компания привлекает сторонних специалистов по кибербезопасности для тестирования своего программного обеспечения на уязвимости. За каждую найденную уязвимость (баг) люди получают вознаграждение (баунти). Всего, к баг-баунти приложения Дія были привлечены 84 специалистов, которые соответствуют заданным критериям, 14 из которых – украинцы.