У Мінцифри заявили, що «білі хакери» не знайшли критичних вразливостей в додатку Дія

30 грудня 2020, 19:25

За підсумками Bug Bounty «білі хакери» не знайшли в додатку Дія вразливості, які впливають на його безпеку.

У Міністерстві цифрової трансформації заявили, що «білі хакери» не знайшли в додатку Дія уразливості, які впливають на безпеку сервісу. Про це повідомляє пресслужба міністерства.

Відео дня

У Мінцифри повідомили, що хакерам вдалося виявити всього два технічних баги низького рівня, які були виправлені.

«Залучені фахівці надали інформацію про потенційно знайдені вразливості, які не стосуються і не впливають безпосередньо на роботу мобільного додатка Дія або API його серверної частини «, - заявив глава міністерства Михайло Федоров.

Зокрема, "білі хакери" знайшли такі уразливості:

  • Можливість згенерувати такий QR-код, при зчитуванні якого мобільний додаток вилітає з помилкою. Ця проблема не впливає на безпеку даних користувачів або сервісу, тому отримала найнижчий з можливих пріоритет рівня P5 (інформаційний).
  • Можливість отримання інформації про поліс страхування авто користувача при модифікації додатка, якщо відомий державний номер транспортного засобу та VIN-код. У Мінцифри відзначили, що ці дані доступні у відкритому доступі і не містять ніяких даних користувача або сервісу Дія, які підпадають під закон Про захист персональних даних. Ця вразливість отримала рівень P4 і ідентифікована як неспецифікована особливість роботи хмарних API, яка не призводить до витоку чутливої інформації.

Фахівці виявили уразливості рівня P4 отримають по $250 з загального призового фонду в $35 000 (1 млн грн). За виявлення багів низького рівня P5 за умовами програми виплати коштів не передбачалося.

Нагадаємо, що про запуск програми пошуку вразливостей в додатку Дія міністр цифрової трансформації Михайло Федоров заявив в жовтні цього року. Пізніше в Мінцифри додали, що Bug Bounty планують провести на платформі Bugcrowd.

Редактор: Люба Балашова
Показати ще новини
Радіо НВ
X