У “Дії” розповіли, які баги у застосунку виявили “білі хакери”

Під час багбаунті етичні хакери не виявили вразливостей, які б впливали на безпеку "Дії". 

Про це "Дія" повідомила в соцмережах.

"Що знайшли?

• 2 технічні баги найнижчого рівня, які одразу були виправлені спеціалістами Дії

Які саме баги?

1. Можливості згенерувати такий QR-код, при зчитуванні якого мобільний застосунок вилітає з помилкою.  Рівень вразливості — P5 (інформаційний), найнижчий. Виплата не передбачається.
2. Можливості отримання інформації про поліс страхування автотранспорту користувача при модифікації застосунку, якщо відомий державний номер транспортного засобу та VIN-код. Така інформація доступна у відкритому доступі, наприклад, за посиланням – https://policy-web.mtsbu.ua, та не містить ніяких даних користувача чи сервісу Дія, які можна віднести до тих, що підпадають під захист Закону "Про захист персональних даних". Рівень вразливості — P4 (неспецифікована особливість роботи хмарних API, що не призводить до витоку чутливої інформації).  Спеціалісти отримають $250 із загального призового фонду, що становив $35 000.

Багбаунті проводило Міністерство цифрової трансформації на міжнародній платформі Bugcrowd за підтримки агентства з міжнародного розвитку США (USAID)".

Нагадаємо, що з 8 грудня білі хакери з усього світу шукали вразливості у додатку Мінцифри "Дія", призовий фонд баґбаунті був мільйон гривень.