15:44 30.12.2020

Багбаунти "Дии" не выявил уязвимостей, влияющих на безопасность приложения

3 мин читать
Багбаунти "Дии" не выявил уязвимостей, влияющих на безопасность приложения

Команда Министерства цифровой трансформации на платформе Bugcrowd при поддержке агентства по международному развитию США (USAID) провела тестирование на нахождение возможных ошибок в приложении "Дия", в ходе которого не было выявлено уязвимостей, которые бы влияли на безопасность приложения.

Как сообщается на сайте министерства в среду, в процессе багбаунти были найдены два технических бага низкого уровня, которые сразу были исправлены специалистами проекта "Дия".

В министерстве отчитались, что среди найденных во время Bug Bounty несущественных уязвимостей, которые уже исправила команда "Дии" были:

- возможность сгенерировать такой QR-код, при считывании которого мобильное приложение вылетает с ошибкой: проблема не влияет на безопасность данных пользователей или сервиса, поэтому получила самый низкий из возможных приоритет уровня P5 (информационный);

- возможность получения информации о полисе страхования автотранспорта пользователя при модификации приложения, если известен государственный номер транспортного средства и VIN-код: информация в открытом доступе и не содержит никаких данных пользователя или сервиса "Дия", которые можно отнести к подпадающим под защиту закона "О защите персональных данных"; уязвимость получила уровень P4 и идентифицирована как неспецифицированная особенность работы облачных API, не приводящая к утечке чувствительной информации.

Представители платформы Bugcrowd сообщили, что специалисты по выявлению уязвимости уровня P4 получат по $250 из общего призового фонда, который составил $35 тыс; за обнаружение бага низкого уровня P5, определенного как информационный, по условиям программы выплаты средств не предусматривалось.

Анализ логов, полученных во время кампании, показал, что специалистами были выполнены попытки выявить уязвимости, которые подпадают под такие категории (согласно классификации OWASP):

- Injection

- Broken Authentication

- Sensitive Data Exposure

- Broken Access Control

- Security Misconfiguration

- Insecure Deserialization

- Using Components with Known Vulnerabilities

Кроме того, были проверены API и протокол взаимодействия с партнерскими организациями по отправке электронных версий документов из мобильного приложения "Дия".

Специалисты, участвовавшие в Bug Bounty, получили всю надлежащую документацию с высокоуровневым описанием архитектуры, организации работы и API облачных сервисов и мобильного приложения "Дия".

Предоставленные для тестирования версии мобильного приложения и API облачных сервисов были идентичны имеющимся в работе приложения на момент старта программы Bug Bounty. Единственные отличия заключались в использовании эмуляции работы государственных реестров и аутентификации средствами BankId.

"Причина таких изменений - имеющиеся ограничения в действующем законодательстве и необходимость обеспечения привлеченным специалистам условий safe harbor, то есть предоставление гарантий, что попытки тестовых атак на мобильное приложение и сервисные API не будут и не могут рассматриваться как нарушение 361 статьи Уголовного кодекса Украины", - подчеркнули в Минцифры.

Как сообщалось, с 8 по 15 декабря 2020 Минцифры при поддержке международной платформы Bugcrowd и агентства по международному развитию США (USAID) провела программу багбаунти для тестирования безопасности iOS / Android мобильных приложений и API сервиса "Дия".

 

Загрузка...

ЕЩЕ ПО ТЕМЕ:

Завантаження...
РЕКЛАМА

ПОСЛЕДНЕЕ

Посол Корнийчук обсудил перспективы сотрудничества Украины с израильским производителем ирригационных систем

Степанов: мы будем вакцинировать медиков не зависимо от формы собственности больниц, в которых они работают

Аваков: белорусский информатор дал небезынтересные показания по расследованию о заказчиках убийства Шеремета

Новая партия вакцин БЦЖ будет поставлена в Украину в течение 7-10 дней

Степанов допускает задержку поставки китайской вакцины от COVID-19 компании Sinovac

Замглавы Офиса президента Смирнов причастен к публикации в СМИ разговора Суркова с Медведчуком, утверждают в "Европейской солидарности"

Аваков допускает провокации, дестабилизацию и обострение ситуации на Донбассе после введения санкций

В Лозовой планируют возобновить подачу воды по графику утром 3 марта - первый вице-мэр

Аваков о предстоящих решениях СНБО: не надо думать, что будет репрессия инакомыслящих и повальная реприватизация

В зоне ООС был зафиксирован пролет БПЛА российских наемников – штаб ООС

РЕКЛАМА
РЕКЛАМА
РЕКЛАМА
РЕКЛАМА
Завантаження...
РЕКЛАМА

UKR.NET- новости со всей Украины

РЕКЛАМА