Об этом сообщает издание Буквы.

Министерство цифровой трансформации 8 декабря запустило конкурс (“багбаунти”) по поиску “белыми” хакерами уязвимостей в мобильном приложении для оцифрованных документов “Дія”.

В Минцифры сообщили, что хакерам удалось обнаружить всего два технических бага низкого уровня, которые были исправлены.

“Привлеченные специалисты предоставили информацию о потенциально найденных уязвимостях, которые не касаются и не влияют непосредственно на работу мобильного приложения Дія или API его серверной части “, — заявил глава министерства Михаил Федоров.

В частности, “белые хакеры” нашли такие уязвимости:

  • Возможность сгенерировать такой QR-код, при считывании которого мобильное приложение вылетает с ошибкой. Эта проблема не влияет на безопасность данных пользователей или сервиса, поэтому получила самый низкий из возможных приоритет уровня P5 (информационный).
  • Возможность получения информации о полисе страхования авто пользователя при модификации приложения, если известен государственный номер транспортного средства и VIN-код. В Минцифры отметили, что эти данные доступны в открытом доступе и не содержат никаких данных пользователя или сервиса Дія, которые подпадают под закон О защите персональных данных. Эта уязвимость получила уровень P4 и идентифицирована как не специфицированная особенность работы облачных API, которая не приводит к утечке чувствительной информации.

Специалисты выявившие уязвимости уровня P4 получат по $ 250 из общего призового фонда в $35 000 (1 млн грн). За обнаружения багов низкого уровня P5 по условиям программы выплаты средств не предусматривалось.