Багбаунті Дії 2: перебіг другого тижня хакатону
11/08/2021
Багбаунті Дії 2: перебіг другого тижня хакатону

Станом на 11 серпня 158 «етичних хакерів» зі всього світу зареєструвалися на другий етап багбаунті Дії,  яке розпочалося 27 липня і триватиме пів року. З них 26 технічних спеціалістів подали 57 заявок на виявлення вразливості застосунку.

У другий тиждень проведення хакатону «етичні хакери» допомогли Дії знайти дві вразливості застосунку. Баги нижчих рівнів, які не мають загроз для користувачів, одразу ж були оброблені та усунені командою Дії. 

"Спеціалісти знайшли вразливості рівня P3 та P5. Щодо P3, мова йде про виявлення доступу до інструмента тестування мобільного застосунку, за допомогою якого можна отримати доступ до інших тестових облікових записів. Цей інструмент використовується для тестування мобільного застосунку в окремому тестовому середовищі без доступу до державних реєстрів і його можна використовувати лише з чітким переліком тестових записів. Однак, незважаючи на те, що цей інструмент відсутній на продуктовій Дії і сам по собі не є вразливістю, ми визнаємо, що доступ до нього дослідників є неправильною конфігурацією в багбаунті середовищі і відповідно до методології Bugcrowd цьому кейсу присвоюється категорія P3. Технічному спеціалісту було виплачено 750$ з призового фонду.

Що стосується Р5, це Task Hijacking, специфічна проблема, що експлуатуючи уразливості платформи Android, дозволяє за наявності спеціально зібраного шахраями додатку для атаки на Дію здійснювати фішингову атаку, видаючи себе за Дію. Розробники вже працюють над тим, щоб мінімізувати ризики реалізації такого сценарію, але загалом досить уважний користувач зможе помітити факт підміни вікон програми, а обережний не ставитиме сумнівні додатки на свій телефон, зводячи шанс атаки до нуля", – зазначив керівник із розвитку електронних послуг у Мінцифрі Мстислав Банік.  

Нагадаємо, що в перший тиждень проведення багбаунті «етичні хакери» допомогли Дії знайти перші три вразливості застосунку, які не мають загроз для користувачів.

Відкрите багбаунті Дії з призовим фондом в 1 млн грн проходить на платформі Bugcrowd, як і минулого разу. Це одна з найбільших міжнародних компаній, що спеціалізується на кібербезпеці й багбаунті. Зареєструватися можна за посиланням.

Важливо, що для тестувальників створено окреме тестове середовище — копію застосунку Дія. Однак без доступу до зовнішніх інформаційних систем: держреєстрів, банківських систем (реєстрація в застосунку відбувається через BankID) та інформаційних систем вендорів (функціонал для шерингу документів).

Одна з головних переваг програм багбаунті — хакерам цікаво шукати складні вразливості, адже від цього залежить розмір винагороди. Чим складніша вразливість, тим більша винагорода. Коли систему тестують одночасно багато людей із різним досвідом і методами, це допомагає ефективніше виявити потенційні недоліки. 

Реалізація багбаунті відбувається за підтримки міжнародної платформи Bugcrowd та проєкту Агентства з міжнародного розвитку США (USAID) “Кібербезпека критично важливої інфраструктури України”.

Файли Cookie
Дія не зберігає дані, але використовує cookies щоб працювати правильно. Натисніть «Дозволити всі», якщо ви погоджуєтесь на використання порталом цих файлів.
Центр налаштування конфіденційності
Ваш браузер зберігає та отримує інформацію у формі cookie файлів. Вона може стосуватись вас, ваших інтересів або вашого пристрою. Ця інформація не ідентифікує безпосередньо вас, але персоналізує ваш вебдосвід. Файли cookie потрібні для того, щоб персоналізувати ваше користування Порталом та зробити його приємнішим і зручнішим. Ми також використовуємо їх, щоб пропонувати вам рекламу відповідно до ваших інтересів на інших сайтах та застосунках. Ви можете активувати або деактивувати файли cookie, крім необхідних для роботи Порталу. Пам’ятайте, що блокування деяких файлів може вплинути на ваше користування Порталом та його функціонування. Натисніть «Дозволити всі», якщо ви погоджуєтесь на використання Порталом цих файлів. Якщо ви не виберете жодного типу cookie, це означатиме заборону всіх типів цих файлів.
Обов’язкові файли cookie
Вони потрібні, щоб реагувати на ваші запити, початок сеансу, авторизацію чи заповнення форм. Ви можете налаштувати свій браузер так, щоб він блокував ці файли або ж сповіщав про їх використання. У такому разі деякі частини Порталу не працюватимуть. Cookie не зберігають особисту інформацію
Outdated Browser
Для комфортної роботи в Мережі потрібен сучасний браузер. Тут можна знайти останні версії.
Outdated Browser
Цей сайт призначений для комп'ютерів, але
ви можете вільно користуватися ним.
67.15%
людей використовує
цей браузер
Google Chrome
Доступно для
  • Windows
  • Mac OS
  • Linux
9.6%
людей використовує
цей браузер
Mozilla Firefox
Доступно для
  • Windows
  • Mac OS
  • Linux
4.5%
людей використовує
цей браузер
Microsoft Edge
Завантажити
Доступний тільки з Windows 10
Доступно для
  • Windows
6.5%
людей використовує
цей браузер
Apple Safari
Завантажити
Доступний тільки з macOS
Доступно для
  • Mac OS
3.15%
людей використовує
цей браузер
Доступно для
  • Windows
  • Mac OS
  • Linux