4 января, 2021 
adminGWP 
В дeкaбрe кoмaндa Министeрствa цифрoвoй трaнсфoрмaции близ пoддeржкe aгeнтствa пo мeждунaрoднoму рaзвитию СШA (USAID) прoвeлa нa плaтфoрмe Bugcrowd тeстирoвaниe сeрвисa Дия. Уязвимoстeй, кoтoрыe бы влияли нa бeзoпaснoсть нe было найдено. Хакеры смогли открыть только два технических бага низкого уровня, которые залпом были исправлены разработчиками Дия, говорится получи сайте Минцифры.
Подписывайтесь нате LIGA.Tech в Facebook: главные новости о технологиях
Середь найденных во время багбаунти багов кафедра отмечает следующие пункты:
- Замазка сгенерировать такой QR-код, подле считывании которого мобильное применение вылетает с ошибкой. Эта тема не влияет на защищенность данных пользователей, поэтому получила самый паскудный приоритет уровня P5.
- Возможность получения информации о полисе страхования автомобиля пользователя подле модификации приложения, если известный госномер авто и VIN-код. Так как эта информация и так вкушать в открытом доступе и не охватывает данных пользователя или сервиса, которые бы подпадали около защиту Закона «О защите персональных данных «, такая ранимость получила уровень P4.
Представители платформы Bugcrowd сообщили, яко специалисты, выявившие уязвимость уровня P4 получат $250 изо общего призового фонда, тот или другой составил $35 000. Обнаружение бага уровня P5 после условиям программы не предусматривало выплат изо призового фонда.
Баг-баунти (Bug Bounty) – сие процесс, в котором компания привлекает сторонних специалистов согласно кибербезопасности для тестирования своего программного обеспечения получай уязвимости. За каждую найденную небезукоризненность (баг) люди получают награда (баунти).
Всего, к баг-баунти приложения Дія были привлечены 84 специалистов, которые соответствуют заданным критериям, 14 с которых – украинцы.
Опубликовано в рубрике