$250 вместо миллиона. Поиск уязвимостей в Дие закончился провалом для белых хакеров

В декабре команда Министерства цифровой трансформации при поддержке агентства по международному развитию США (USAID) провела на платформе Bugcrowd тестирование сервиса Дия. Уязвимостей, которые бы влияли на безопасность не было найдено. Хакеры смогли обнаружить только два технических бага низкого уровня, которые сразу были исправлены разработчиками Дия, говорится на сайте Минцифры.

Среди найденных во время багбаунти багов ведомство отмечает следующие пункты:

• Возможность сгенерировать такой QR-код, при считывании которого мобильное приложение вылетает с ошибкой. Эта проблема не влияет на безопасность данных пользователей, поэтому получила самый низкий приоритет уровня P5.
• Возможность получения информации о полисе страхования автомобиля пользователя при модификации приложения, если известен госномер авто и VIN-код. Поскольку эта информация и так есть в открытом доступе и не содержит данных пользователя или сервиса, которые бы подпадали под защиту Закона "О защите персональных данных ", такая уязвимость получила уровень P4.

Представители платформы Bugcrowd сообщили, что специалисты, выявившие уязвимость уровня P4 получат $250 из общего призового фонда, который составил $35 000. Обнаружение бага уровня P5 по условиям программы не предусматривало выплат из призового фонда.

Баг-баунти (Bug Bounty) – это процесс, в котором компания привлекает сторонних специалистов по кибербезопасности для тестирования своего программного обеспечения на уязвимости. За каждую найденную уязвимость (баг) люди получают вознаграждение (баунти). Всего, к баг-баунти приложения Дія были привлечены 84 специалистов, которые соответствуют заданным критериям, 14 из которых – украинцы.