Дія підтвердила безпечність застосунку за допомогою програми багбаунті
30/12/2020
Дія підтвердила безпечність застосунку за допомогою програми багбаунті

Етичні хакери зі всього світу підтвердили надійність Дії під час проведення програми Bug Bounty. 

У грудні команда Міністерства цифрової трансформації на платформі Bugcrowd за підтримки агентства з міжнародного розвитку США (USAID) провела  тестування на знаходження можливих помилок у Дії. У застосунку не виявили вразливостей, які б впливали на безпеку. Знайдено два технічні баги найнижчого рівня, які одразу були виправлені спеціалістами проєкту Дія. 

"Команда Мінцифри забезпечує дуже високий рівень надійності даних і регулярно покращує безпеку продуктів. Дія — найбільш безпечний продукт, який створювався за останні роки. Щоб це довести, ми провели багбаунті застосунку Дія. Протягом програми залучені спеціалісти надали інформацію про потенційно знайдені вразливості, які не стосуються та не впливають безпосередньо на роботу мобільного застосунку Дія чи API його серверної частини", — Михайло Федоров

Серед знайдених під час Bug Bounty несуттєвих вразливостей, які вже виправила команда Дії:

  1. Можливості згенерувати такий QR-код, при зчитуванні якого мобільний застосунок вилітає з помилкою. Ця проблема не впливає на безпеку даних користувачів чи сервісу, тому отримала найнижчий з можливих пріоритет рівня P5 (інформаційний).

  2. Можливості отримання інформації про поліс страхування автотранспорту користувача при модифікації застосунку, якщо відомий державний номер транспортного засобу та VIN-код. Така інформація доступна у відкритому доступі, наприклад, за посиланням – https://policy-web.mtsbu.ua, та не містить ніяких даних користувача чи сервісу Дія, які можна віднести до тих, що підпадають під захист Закону “Про захист персональних даних”. Тому ця вразливість отримала рівень P4 та ідентифікована як неспецифікована особливість роботи хмарних API, що не призводить до витоку чутливої інформації.

Представники платформи Bugcrowd повідомили, що спеціалісти за виявлення вразливості рівня P4 отримають по $250 із загального призового фонду, що становив $35 000; за виявлення багу найнижчого рівня P5, визначеного як інформаційний, за умовами програми виплати коштів не передбачалося. 

Аналіз логів, отриманих під час кампанії, показав, що спеціалістами були виконані спроби виявити вразливості, які підпадають під такі категорії (відповідно до класифікації OWASP):

  1. Injection
  2. Broken Authentication
  3. Sensitive Data Exposure
  4. Broken Access Control.
  5. Security Misconfiguration
  6. Insecure Deserialization
  7. Using Components with Known Vulnerabilities

Також було перевірено API та протокол взаємодії з партнерськими організаціями з надсилання електронних версій документів з мобільного застосунку Дія.

Спеціалісти (рісерчери), які брали участь у Bug Bounty, отримали всю належну документацію з високорівневим описом архітектури, організації роботи та API хмарних сервісів та мобільного застосунку Дія. 

Надані версії мобільного застосунку та API хмарних сервісів ідентичні наявним у продуктивному середовищі на момент старту програми Bug Bounty. Єдині відмінності полягали у використанні емуляції роботи державних реєстрів та аутентифікації засобами BankId. Причина таких змін – наявні обмеження в чинному законодавстві та необхідність гарантування залученим спеціалістам умов safe harbor, тобто надання гарантій, що спроби тестових атак на мобільний застосунок та сервісних API не будуть і не можуть розглядатися як порушення 361 статті Кримінального кодексу України.

Для команди Міністерства цифрової трансформації та Дії кібербезпека — один з пріоритетів. Ми хочемо, щоб кожний громадянин України був впевнений у безпеці своїх даних у застосунку. 

Для довідки: 

Баг Баунті (Bug Bounty) – це підхід до тестування та знаходження можливих помилок і вразливостей у програмних засобах із залученням спеціалістів з кібербезпеки, під час якого винагороджуються тільки знайдені та підтверджені помилки відповідно до рівня їх небезпеки. 

З 8 до 15 грудня 2020 року Мінцифра за підтримки міжнародної платформи Bugcrowd та агентства з міжнародного розвитку США (USAID) провела програму багбаунті для тестування безпеки iOS/Android мобільних застосунків та API сервісу Дія – “етичні” хакери з усього світу шукали вразливості його копії. 

Bugcrowd залучила 50 спеціалістів (“етичних” хакерів), які відповідають заданим критеріям, а протягом проведення програми — додатково ще 33. Тобто всього до участі в програмі всього було залучено 83 спеціалісти, з яких 27 прийняли запрошення та долучилися до активної перевірки (14 спеціалістів – з України).

До участі у програмі платформою Bugcrowd було запрошено спеціалістів за такими критеріями:

  1. Як мінімум 4 знайдені вразливості за весь час активностей на платформі Bugcrowd.

  2. Точність (відсоток підтверджених вразливостей) не менше 50% за останні 90 днів.

  3. За останні 90 днів знайдена і підтверджена хоча б одна вразливість рівня P3 та вище.

  4. За весь час знайдено і підтверджено як мінімум 3 вразливі рівня P3 та вище.

Ознайомитися з результатами Баг Баунті можна тут

Файли Cookie
Дія не зберігає дані, але використовує cookies щоб працювати правильно. Натисніть «Дозволити всі», якщо ви погоджуєтесь на використання порталом цих файлів.
Центр налаштування конфіденційності
Ваш браузер зберігає та отримує інформацію у формі cookie файлів. Вона може стосуватись вас, ваших інтересів або вашого пристрою. Ця інформація не ідентифікує безпосередньо вас, але персоналізує ваш вебдосвід. Файли cookie потрібні для того, щоб персоналізувати ваше користування Порталом та зробити його приємнішим і зручнішим.
Обов’язкові файли cookie
Вони потрібні, щоб реагувати на ваші запити, початок сеансу, авторизацію чи заповнення форм. Ви можете налаштувати свій браузер так, щоб він блокував ці файли або ж сповіщав про їх використання. У такому разі деякі частини Порталу не працюватимуть. Cookie не зберігають особисту інформацію
Outdated Browser
Для комфортної роботи в Мережі потрібен сучасний браузер. Тут можна знайти останні версії.
Outdated Browser
Цей сайт призначений для комп'ютерів, але
ви можете вільно користуватися ним.
67.15%
людей використовує
цей браузер
Google Chrome
Доступно для
  • Windows
  • Mac OS
  • Linux
9.6%
людей використовує
цей браузер
Mozilla Firefox
Доступно для
  • Windows
  • Mac OS
  • Linux
4.5%
людей використовує
цей браузер
Microsoft Edge
Завантажити
Доступний тільки з Windows 10
Доступно для
  • Windows
6.5%
людей використовує
цей браузер
Apple Safari
Завантажити
Доступний тільки з macOS
Доступно для
  • Mac OS
3.15%
людей використовує
цей браузер
Доступно для
  • Windows
  • Mac OS
  • Linux