Дія підтвердила безпечність застосунку за допомогою програми багбаунті

У грудні команда Міністерства цифрової трансформації на платформі Bugcrowd за підтримки агентства з міжнародного розвитку США (USAID) провела тестування на знаходження можливих помилок у Дії. У застосунку не виявили вразливостей, які б впливали на безпеку. Знайдено два технічні баги найнижчого рівня, які одразу були виправлені спеціалістами проєкту Дія.

Команда Мінцифри забезпечує дуже високий рівень надійності даних і регулярно покращує безпеку продуктів. Дія — найбільш безпечний продукт, який створювався за останні роки. Щоб це довести, ми провели багбаунті застосунку Дія. Протягом програми залучені спеціалісти надали інформацію про потенційно знайдені вразливості, які не стосуються та не впливають безпосередньо на роботу мобільного застосунку Дія чи API його серверної частини.

Михайло Федоров, Віцепрем'єр-міністр — міністр цифрової трансформації 

Серед знайдених під час Bug Bounty несуттєвих вразливостей, які вже виправила команда Дії:

1. Можливості згенерувати такий QR-код, при зчитуванні якого мобільний застосунок вилітає з помилкою. Ця проблема не впливає на безпеку даних користувачів чи сервісу, тому отримала найнижчий з можливих пріоритет рівня P5 (інформаційний).
2. Можливості отримання інформації про поліс страхування автотранспорту користувача при модифікації застосунку, якщо відомий державний номер транспортного засобу та VIN-код. Така інформація доступна у відкритому доступі, та не містить ніяких даних користувача чи сервісу Дія, які можна віднести до тих, що підпадають під захист Закону «Про захист персональних даних». Тому ця вразливість отримала рівень P4 та ідентифікована як неспецифікована особливість роботи хмарних API, що не призводить до витоку чутливої інформації.

Представники платформи Bugcrowd повідомили, що спеціалісти за виявлення вразливості рівня P4 отримають по $250 із загального призового фонду, що становив $35 000; за виявлення багу найнижчого рівня P5, визначеного як інформаційний, за умовами програми виплати коштів не передбачалося.

Також було перевірено API та протокол взаємодії з партнерськими організаціями з надсилання електронних версій документів з мобільного застосунку Дія.

Довідка

Баг Баунті (Bug Bounty) — це підхід до тестування та знаходження можливих помилок і вразливостей у програмних засобах із залученням спеціалістів з кібербезпеки, під час якого винагороджуються тільки знайдені та підтверджені помилки відповідно до рівня їх небезпеки.

З 8 до 15 грудня 2020 року Мінцифра за підтримки міжнародної платформи Bugcrowd та агентства з міжнародного розвитку США (USAID) провела програму багбаунті для тестування безпеки iOS/Android мобільних застосунків та API сервісу Дія — «етичні» хакери з усього світу шукали вразливості його копії.

Bugcrowd залучила 50 спеціалістів («етичних» хакерів), які відповідають заданим критеріям, а протягом проведення програми — додатково ще 33. Тобто всього до участі в програмі всього було залучено 83 спеціалісти, з яких 27 прийняли запрошення та долучилися до активної перевірки (14 спеціалістів — з України).

Джерело: Міністерство цифрової трансформації України