Станом на 11 серпня 158 «етичних хакерів» зі всього світу зареєструвалися на другий етап багбаунті Дії,  яке розпочалося 27 липня і триватиме пів року. З них 26 технічних спеціалістів подали 57 заявок на виявлення вразливості застосунку.

У другий тиждень проведення хакатону «етичні хакери» допомогли Дії знайти дві вразливості застосунку. Баги нижчих рівнів, які не мають загроз для користувачів, одразу ж були оброблені та усунені командою Дії. 

"Спеціалісти знайшли вразливості рівня P3 та P5. Щодо P3, мова йде про виявлення доступу до інструмента тестування мобільного застосунку, за допомогою якого можна отримати доступ до інших тестових облікових записів. Цей інструмент використовується для тестування мобільного застосунку в окремому тестовому середовищі без доступу до державних реєстрів і його можна використовувати лише з чітким переліком тестових записів. Однак, незважаючи на те, що цей інструмент відсутній на продуктовій Дії і сам по собі не є вразливістю, ми визнаємо, що доступ до нього дослідників є неправильною конфігурацією в багбаунті середовищі і відповідно до методології Bugcrowd цьому кейсу присвоюється категорія P3. Технічному спеціалісту було виплачено 750$ з призового фонду.

Що стосується Р5, це Task Hijacking, специфічна проблема, що експлуатуючи уразливості платформи Android, дозволяє за наявності спеціально зібраного шахраями додатку для атаки на Дію здійснювати фішингову атаку, видаючи себе за Дію. Розробники вже працюють над тим, щоб мінімізувати ризики реалізації такого сценарію, але загалом досить уважний користувач зможе помітити факт підміни вікон програми, а обережний не ставитиме сумнівні додатки на свій телефон, зводячи шанс атаки до нуля", – зазначив керівник із розвитку електронних послуг у Мінцифрі Мстислав Банік.  

Нагадаємо, що в перший тиждень проведення багбаунті «етичні хакери» допомогли Дії знайти перші три вразливості застосунку, які не мають загроз для користувачів.

Відкрите багбаунті Дії з призовим фондом в 1 млн грн проходить на платформі Bugcrowd, як і минулого разу. Це одна з найбільших міжнародних компаній, що спеціалізується на кібербезпеці й багбаунті. Зареєструватися можна за посиланням.

Важливо, що для тестувальників створено окреме тестове середовище — копію застосунку Дія. Однак без доступу до зовнішніх інформаційних систем: держреєстрів, банківських систем (реєстрація в застосунку відбувається через BankID) та інформаційних систем вендорів (функціонал для шерингу документів).

Одна з головних переваг програм багбаунті — хакерам цікаво шукати складні вразливості, адже від цього залежить розмір винагороди. Чим складніша вразливість, тим більша винагорода. Коли систему тестують одночасно багато людей із різним досвідом і методами, це допомагає ефективніше виявити потенційні недоліки. 

Реалізація багбаунті відбувається за підтримки міжнародної платформи Bugcrowd та проєкту Агентства з міжнародного розвитку США (USAID) “Кібербезпека критично важливої інфраструктури України”.