Хакеры протестировали уязвимость приложения «Дія»: что нашли
Минцифра второй раз провела Bug Bounty приложения «Дія». За найденные уязвимости хакеры получили почти две тысячи долларов США.
В июле 2021 года Министерство цифровой трансформации запустило программу Bug Bounty приложения «Дія» с призовым фондом в 1 млн грн. Bug Bounty — это спецпрограмма, когда хакеры могут получить вознаграждение за нахождение ошибок, касающихся эксплойтов и уязвимостей, в работе приложений.
Как отметили в пресс-центре министерства, специально для Bug Bounty создали отдельную среду применения Дії, у которой нет связи с банками, коммерческими партнерами и госреестрами. В поиске ошибок участвовали 329 хакеров. Из них 36 подали 66 заявок о возможных уязвимостях.
Среди заявок:
42 отклонили из-за несоответствия требованиям,
10 заявок носили информационный характер,
7 дубликатов и всего 7 отвечали критериям.
В результате 4 хакера получили суммарное вознаграждение в размере 1900 долларов США. 3 заявки носили информационный характер и вознаграждения не получили.
Читайте также: «Госреестры в Украине не охраняются, а «Дія» охраняется как Форт-Нокс» – Никита Кныш
Что нашли:
Нашли уязвимость уровня Р3. Хакеры смогли получить доступ к документации АРІ тестового сервиса Дії, а также у них получилось входить любым тестовым пользователем через настройку АРІ. Как отметили в Минцифре, уязвимость выявили в тестовой среде BugCrowd и к Діє она не имеет отношения. За поиск хакеры получили 700 и 750 долларов США.
Один из участников нашел уязвимость предпоследнего уровня – P4. Она связана с возможностью заменить название банка после авторизации в нем. Проблему решили дополнительной проверкой и исправлением API. За эту уязвимость выплатили 250 долларов.
«Проблема не представляет угрозы для пользователя, кроме неправильной информации на экране. К тому же, чтобы воспользоваться такой потенциальной уязвимостью, злоумышленнику нужно получить полный доступ к смартфону пользователя», — отметили в Минцифре.
Также нашли возможность подставить свои экраны поверх Дії (выполнить фишинг) благодаря специальному приложению на Android. Для того чтобы сделать это, нужно иметь непосредственный доступ к телефону, и пользователь должен установить специальный софт. Проблему также устранили. Хакер получил 200 долларов.
Новости по теме:
- Категории: Общество, Политика, Украина; Теги: Дія, Министерство цифровой трансформации, хакеры;
- Чтобы узнавать о самом важном, актуальном, интересном в Харькове, Украине и мире:
- подписывайтесь на нас в Telegram и обсуждайте новости в нашем чате,
- присоединяйтесь к нам в соцсетях: Facebook , Instagram , Viber , а также Google Новости,
- смотрите в Youtube, TikTok, пишите или присылайте новости Харькова в нашего бота.
Вы читали новость: «Хакеры протестировали уязвимость приложения «Дія»: что нашли»; из категории Общество на сайте Медиа-группы «Объектив»
- • Больше свежих новостей из Харькова, Украины и мира на похожие темы у нас на сайте:
- • Воспользуйтесь поиском на сайте Объектив.TV и обязательно находите новости согласно вашим предпочтениям;
- • Подписывайтесь на социальные сети Объектив.TV, чтобы узнавать о ключевых событиях в Украине и вашем городе;
- • Дата публикации материала: 2 февраля 2022 в 20:18;
Корреспондент София Красникова в данной статье раскрывает новостную тему о том, что "Минцифра второй раз провела Bug Bounty приложения «Дія». За найденные уязвимости хакеры получили почти две тысячи долларов".