Станом на 6 серпня 110 «етичних хакерів» зі всього світу зареєструвалися на другий етап багбаунті Дії,  яке розпочалося 27 липня і триватиме пів року. З них 22 технічні спеціалісти подали 47 заявок на виявлення вразливості застосунку. 

«Етичні хакери» допомогли Дії знайти перші вразливості застосунку – це баги нижчих рівнів, які не мають загроз для користувачів. Вони одразу ж були оброблені та усунені командою Дії.

«У перший тиждень проведення другого багбаунті Дії спеціалісти знайшли три вразливості, які одразу були усунені нашою командою. Мова йде про вразливість P3 – відкритість відлагоджувального swagger (сервіс, що документує API), який технічні спеціалісти нашої команди після налаштування середовища не одразу закрили від загального доступу; вразливість P4 – знайдена особливість роботи API, яка при запиті токена сесії некоректно відображає назву банку, від імені якого була виконана авторизація. Оскільки це можливо, тільки використовуючи власні банківські дані, і крім зміни назви, банку інших змін не відбувалося, ми оцінили це як відносно незначну особливість; та вразливість найнижчого рівня P5 – у відкритому swagger був IP одного з внутрішніх сервісів. Загалом технічним спеціалістам було виплачено 950$ з призового фонду, де $700 за баг третього рівня та $250 – четвертого», – зазначив керівник із розвитку електронних послуг у Мінцифрі Мстислав Банік.  

Нагадаємо, що відкрите багбаунті Дії з призовим фондом в 1 млн грн проходить на платформі Bugcrowd, як і минулого разу. Це одна з найбільших міжнародних компаній, що спеціалізується на кібербезпеці й багбаунті. Зареєструватися можна — за посиланням.

Важливо, що для тестувальників створено окреме тестове середовище — копія застосунку Дія. Однак без доступу до зовнішніх інформаційних систем: держреєстрів, банківських систем (реєстрація в застосунку відбувається через BankID) та інформаційних систем вендорів (функціонал для шерингу документів).

Одна з головних переваг програм багбаунті — хакерам цікаво шукати складні вразливості, адже від цього залежить розмір винагороди. Чим складніша вразливість, тим більша винагорода. Коли систему тестують одночасно багато людей із різним досвідом і методами, це допомагає ефективніше виявити потенційні недоліки. 

Реалізація багбаунті відбувається за підтримки міжнародної платформи Bugcrowd та проєкту Агентства з міжнародного розвитку США (USAID) “Кібербезпека критично важливої інфраструктури України”.