Багбаунти "Дии" не выявил уязвимостей, влияющих на безопасность приложения
Команда Министерства цифровой трансформации на платформе Bugcrowd при поддержке агентства по международному развитию США (USAID) провела тестирование на нахождение возможных ошибок в приложении "Дия", в ходе которого не было выявлено уязвимостей, которые бы влияли на безопасность приложения.
Как сообщается на сайте министерства в среду, в процессе багбаунти были найдены два технических бага низкого уровня, которые сразу были исправлены специалистами проекта "Дия".
В министерстве отчитались, что среди найденных во время Bug Bounty несущественных уязвимостей, которые уже исправила команда "Дии" были:
- возможность сгенерировать такой QR-код, при считывании которого мобильное приложение вылетает с ошибкой: проблема не влияет на безопасность данных пользователей или сервиса, поэтому получила самый низкий из возможных приоритет уровня P5 (информационный);
- возможность получения информации о полисе страхования автотранспорта пользователя при модификации приложения, если известен государственный номер транспортного средства и VIN-код: информация в открытом доступе и не содержит никаких данных пользователя или сервиса "Дия", которые можно отнести к подпадающим под защиту закона "О защите персональных данных"; уязвимость получила уровень P4 и идентифицирована как неспецифицированная особенность работы облачных API, не приводящая к утечке чувствительной информации.
Представители платформы Bugcrowd сообщили, что специалисты по выявлению уязвимости уровня P4 получат по $250 из общего призового фонда, который составил $35 тыс; за обнаружение бага низкого уровня P5, определенного как информационный, по условиям программы выплаты средств не предусматривалось.
Анализ логов, полученных во время кампании, показал, что специалистами были выполнены попытки выявить уязвимости, которые подпадают под такие категории (согласно классификации OWASP):
- Injection
- Broken Authentication
- Sensitive Data Exposure
- Broken Access Control
- Security Misconfiguration
- Insecure Deserialization
- Using Components with Known Vulnerabilities
Кроме того, были проверены API и протокол взаимодействия с партнерскими организациями по отправке электронных версий документов из мобильного приложения "Дия".
Специалисты, участвовавшие в Bug Bounty, получили всю надлежащую документацию с высокоуровневым описанием архитектуры, организации работы и API облачных сервисов и мобильного приложения "Дия".
Предоставленные для тестирования версии мобильного приложения и API облачных сервисов были идентичны имеющимся в работе приложения на момент старта программы Bug Bounty. Единственные отличия заключались в использовании эмуляции работы государственных реестров и аутентификации средствами BankId.
"Причина таких изменений - имеющиеся ограничения в действующем законодательстве и необходимость обеспечения привлеченным специалистам условий safe harbor, то есть предоставление гарантий, что попытки тестовых атак на мобильное приложение и сервисные API не будут и не могут рассматриваться как нарушение 361 статьи Уголовного кодекса Украины", - подчеркнули в Минцифры.
Как сообщалось, с 8 по 15 декабря 2020 Минцифры при поддержке международной платформы Bugcrowd и агентства по международному развитию США (USAID) провела программу багбаунти для тестирования безопасности iOS / Android мобильных приложений и API сервиса "Дия".
