«Етичні» хакери не змогли зламати «Дію» та отримати 1 млн грн винагороди
Мінцифри

Міністерство цифрової трансформації оголосило про підсумки марафону зламу мобільного застосунку порталу «Дія». Випробування під назвою Bug Bounty проводилося з 8 по 15 грудня на платформі Bugcrowd. Якби хтось зумів «зламати» застосунок, на нього чекав би приз у один мільйон гривень

Чиновників підтримало агентство з міжнародного розвитку США (USAID).

У застосунку не виявили вразливостей, які б впливали на безпеку, повідомили у відомстві.

Проте під час Bug Bounty тестувальники знайшли два технічні недоліки найнижчого рівня. Серед несуттєвих є два:

  • можливість згенерувати такий QR-код, при зчитуванні якого мобільний застосунок вилітає з помилкою;
  • можливість отримання інформації про поліс страхування автотранспорту користувача при модифікації застосунку, якщо відомий державний номер транспортного засобу та VIN-код.

Команда «Дії» запевняє, що вже виправила ці вразливості.

Передісторія 

З 8 до 15 грудня 2020 року «етичні» хакери з усього світу шукали вразливості копії застосунку. Міжнародна платформа Bugcrowd залучила 83 спеціалісти, з яких 27 прийняли запрошення та долучилися до активної перевірки (14 спеціалістів — із України).

У Мінцифрі розповіли про нові можливості додатку «Дія 2.0». Chas News провели власне розслідування щодо нього (відео)