15:02
30 Дек 2020
В "Дии" рассказали, какие баги в приложении обнаружили "белые хакеры"
Во время багбаунти этические хакеры не обнаружили уязвимости, которые бы влияли на безопасность Дии.
Об этом «Дия» сообщила в соцсетях.
«Что нашли?
- 2 технических бага низкого уровня, сразу были исправлены специалистами Дии.
Какие баги?
- Возможности сгенерировать такой QR-код, при считывании которого мобильное приложение вылетало с ошибкой. Уровень уязвимости — P5 (информационный), самый низкий. Выплата не предвидится.
- Возможности получения информации про полис страхования автотранспорта пользователя при модификации приложения, если известен государственный номер транспортного средства и VIN-код. Это есть в открытом доступе, например, по ссылке — https://policy-web.mtsbu.ua, и не содержит никаких данных пользователя или сервиса Дия, которые можно отнести к подпадающим под защиту Закона «О защите персональных данных «. Уровень уязвимости — P4 (неспецифицированная особенность работы облачных API, не приводит к утечке чувствительной информации). Специалисты получат $250 из общего призового фонда, который составил $35 000.
Багбаунти проводило Министерство цифровой трансформации на международной платформе Bugcrowd при поддержке агентства по международному развитию США (USAID)».
Напомним, что с 8 декабря белые хакеры со всего мира искали уязвимости в приложении Минцифры «Дия», призовой фонд баґбаунти был миллион гривен.