В «Дії» не выявили уязвимостей, которые бы влияли на безопасность
В «Дії» не выявили уязвимостей, которые бы влияли на безопасность
30.12.2020 15:33
Укринформ
Министерство цифровой трансформации на платформе Bugcrowd при поддержке Агентства по международному развитию США (USAID) провело тестирование на нахождение возможных ошибок в приложении "Дія".
Как передает Укринформ, об этом сообщает пресс-служба ведомства.
В приложении не выявили уязвимостей, которые бы влияли на безопасность. Нашли два технических бага самого низкого уровня, которые сразу были исправлены специалистами проекта "Дія". В частности, было выявлено: возможность сгенерировать такой QR-код, при считывании которого мобильное приложение вылетает с ошибкой (самый низкий из возможных приоритет уровня P5) и возможность получения информации о полисе страхования автотранспорта пользователя при модификации приложения, если известен государственный номер транспортного средства и VIN-код (приоритет уровня P4 — неспецифицированная особенность работы облачных API). Команда "Дії" уже исправила эти уязвимости.
"Команда Минцифры обеспечивает очень высокий уровень надежности данных и регулярно улучшает безопасность продуктов. "Дія" — наиболее безопасный продукт, который создавался за последние годы. Чтобы это доказать, мы провели багбаунти приложения "Дія". Привлеченные специалисты предоставили информацию о потенциально найденных уязвимостях, которые не касаются и не влияют непосредственно на работу мобильного приложения "Дія" либо API его серверной части", — заявил вице-премьер-министр — министр цифровой трансформации Украины Михаил Федоров.
Представители платформы Bugcrowd сообщили, что специалисты по выявлению уязвимости уровня P4 получат по 250 долларов из общего призового фонда, который составил 35 тыс. долларов. За выявление бага самого низкого уровня P5, определенного как информационный, по условиям программы выплата средств не предусматривалась.
Анализ логов, полученных во время кампании, показал, что специалисты выполнили попытки выявить уязвимости, которые подпадают под такие категории (согласно классификации OWASP): Injection, Broken Authentication, Sensitive Data Exposure, Broken Access Control, Security Misconfiguration, Insecure Deserialization и Using Components with Known Vulnerabilities.
Также было проверено API и протокол взаимодействия с партнерскими организациями по отправке электронных версий документов с мобильного приложения "Дія".
Специалисты (рисерчеры), которые участвовали в Bug Bounty, получили всю надлежащую документацию с высокоуровневым описанием архитектуры, организации работы и API облачных сервисов и мобильного приложения "Дія".
Читайте также: Приложением «Дія 2.0.» уже пользуются миллион украинцев
Предоставленные версии мобильного приложения и API облачных сервисов идентичны имеющимся в продуктивной среде на момент старта программы Bug Bounty. Единственные отличия заключались в использовании эмуляции работы государственных реестров и аутентификации средствами BankId. Причина таких изменений — имеющиеся ограничения в действующем законодательстве и необходимость обеспечения привлеченным специалистам условий safe harbor, то есть предоставление гарантий, что попытки тестовых атак на мобильное приложение и сервисные API не будут и не могут рассматриваться как нарушение 361-й статьи Уголовного кодекса Украины (несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей либо сетей электросвязи).
Как сообщал Укринформ, Министерство цифровой трансформации запустило багбаунти по поиску уязвимостей в приложении "Дія" 8 декабря 2020 года. Для поиска уязвимостей в "Дії" была создана тестовая версия приложения, в которой не было персональных данных пользователей и в которой отсутствовала какая-либо информация о пользователях. Общий призовой фонд багбаунти "Дії" составил почти 1 млн грн.
По материалам: Укринформ
