В декабре команда Министерства цифровой трансформации на платформе Bugcrowd при поддержке агентства по международному развитию США (USAID) провела тестирование на нахождение возможных ошибок в «Дія». В приложении не выявили уязвимостей, которые бы влияли на безопасность, но было найдено два технических бага низкого уровня, которые сразу были исправлены специалистами проекта.

Среди найденных во время Bug Bounty несущественных уязвимостей, которые уже исправлены:

  • Возможности сгенерировать такой QR-код, при считывании которого мобильное приложение вылетает с ошибкой. Эта проблема не влияет на безопасность данных пользователей или сервиса, поэтому получила самый низкий из возможных приоритет уровня P5 (информационный).
  • Возможности получения информации о полисе страхования автотранспорта пользователя при модификации приложения, если известен государственный номер транспортного средства и VIN-код. Эта информация доступна в открытом доступе, например, по ссылке —  https://policy-web.mtsbu.ua , и не содержит никаких данных пользователя или сервиса «Дія», которые можно отнести к подпадающих под защиту Закона «О защите персональных данных «. Поэтому эта уязвимость получила уровень P4 и идентифицирована как неспецификована особенность работы облачных API, которая не приводит к утечке чувствительной информации.

Представители платформы Bugcrowd сообщили, что специалисты по выявлению уязвимости уровня P4 получат по $ 250 из общего призового фонда, который составил $ 35 000; при обнаружении бага низкого уровня P5, определенного как информационный, по условиям программы выплаты средств не предусматривалось.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here