У «Дії» не виявили вразливостей, які б впливали на безпеку
Міністерство цифрової трансформації на платформі Bugcrowd за підтримки Агентства з міжнародного розвитку США (USAID) провело тестування на знаходження можливих помилок у застосунку Дія.
Як передає Укрінформ, про це повідомляє пресслужба відомства.
У застосунку не виявили вразливостей, які б впливали на безпеку. Знайдено два технічні баги найнижчого рівня, які одразу були виправлені спеціалістами проєкту Дія. Зокрема було виявлено: можливість згенерувати такий QR-код, при зчитуванні якого мобільний застосунок вилітає з помилкою (найнижчий із можливих пріоритет рівня P5) та можливість отримання інформації про поліс страхування автотранспорту користувача при модифікації застосунку, якщо відомий державний номер транспортного засобу і VIN-код (пріоритет рівня P4 - неспецифікована особливість роботи хмарних API). Команда Дії вже виправила ці вразливості.
"Команда Мінцифри забезпечує дуже високий рівень надійності даних і регулярно покращує безпеку продуктів. Дія — найбільш безпечний продукт, який створювався за останні роки. Щоб це довести, ми провели багбаунті застосунку Дія. Залучені спеціалісти надали інформацію про потенційно знайдені вразливості, які не стосуються і не впливають безпосередньо на роботу мобільного застосунку Дія чи API його серверної частини", - заявив віцепрем'єр-міністр - міністр цифрової трансформації України Михайло Федоров.
Представники платформи Bugcrowd повідомили, що спеціалісти за виявлення вразливості рівня P4 отримають по 250 доларів із загального призового фонду, що становив 35 тис. доларів. За виявлення багу найнижчого рівня P5, визначеного як інформаційний, за умовами програми виплата коштів не передбачалася.
Аналіз логів, отриманих під час кампанії, показав, що спеціалісти виконали спроби виявити вразливості, які підпадають під такі категорії (відповідно до класифікації OWASP): Injection, Broken Authentication, Sensitive Data Exposure, Broken Access Control, Security Misconfiguration, Insecure Deserialization та Using Components with Known Vulnerabilities.
Також було перевірено API та протокол взаємодії з партнерськими організаціями з надсилання електронних версій документів з мобільного застосунку Дія.
Спеціалісти (рісерчери), які брали участь у Bug Bounty, отримали всю належну документацію з високорівневим описом архітектури, організації роботи та API хмарних сервісів та мобільного застосунку Дія.
Надані версії мобільного застосунку та API хмарних сервісів ідентичні наявним у продуктивному середовищі на момент старту програми Bug Bounty. Єдині відмінності полягали у використанні емуляції роботи державних реєстрів та аутентифікації засобами BankId. Причина таких змін – наявні обмеження у чинному законодавстві та необхідність гарантування залученим спеціалістам умов safe harbor, тобто надання гарантій, що спроби тестових атак на мобільний застосунок та сервісних API не будуть і не можуть розглядатися як порушення 361-ї статті Кримінального кодексу України (несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку).
Як повідомляв Укрінформ, Міністерство цифрової трансформації запустило багбаунті з пошуку вразливостей у застосунку Дія 8 грудня 2020 року. Для пошуку вразливостей у Дії була створена тестова версія додатку, в якій не було персональних даних користувачів і в якій була відсутня будь-яка інформація про користувачів. Загальний призовий фонд багбаунті Дії становив майже 1 млн грн.