Застосунок «Дія» пройшов перевірку на вразливість
Мобільний застосунок «Дія» пройшов перевірку Bug Bounty. У програмі не виявили вразливостей, які б впливали на безпеку. Знайдено два технічні баги, але їх відразу ліквідували спеціалісти.
Про це повідомили на сайті Мінцифри.
Команада міністерства цифрової трансформації на платформі Bugcrowd за підтримки агентства з міжнародного розвитку США (USAID) протестували застосунок, щоб виявити можливі помилки.
«Команда Мінцифри забезпечує дуже високий рівень надійності даних і регулярно покращує безпеку продуктів. Дія – найбільш безпечний продукт, який створювався за останні роки. Щоб це довести, ми провели багбаунті застосунку Дія. Протягом програми залучені спеціалісти надали інформацію про потенційно знайдені вразливості, які не стосуються та не впливають безпосередньо на роботу мобільного застосунку Дія чи API його серверної частини», — наголосив Михайло Федоров.
У грудні етичні хакери вишукували баги в тестовому застосунку. Ця версія програми не містила особистих даних користувачів. Загалом до участи запросили 83 спеціалісти, з яких 27 прийняли запрошення та проводили активну перевірку.
Спеціалісти виявили такі вразливості:
- Можливість згенерувати QR-код. При його зчитуванні застосунок вилітав з помилкою.
- Можливість отримати інформацію про поліс страхування автотранспорту користувача при модифікації застосунку. Такі дії можна було «провернути», якщо відомий державний номер транспортного засобу та VIN-код. Однак ця інформація і так у відкритому доступі та не містить жодних конфіденційних даних користувачів. Ця помилка не призводила до витоку чутливої інформації.
За словами представників платформи Bugcrowd, спеціалісти, які виявили другу помилку, отримають 250 $. Перший баг вважають не дуже серйозним, тому платити за нього не будуть.
Раніше ми повідомляли, що на засіданні Кабінету міністрів України ухвалили рішення про запуск експериментального проєкту електронної реєстрації місця проживання.
