Про це повідомляє пресслужба міністерства.

Нагадаємо, Міністерство цифрової трансформації 8 грудня запустило конкурс (“багбаунті”) з пошуку “білими” хакерами вразливостей у мобільному застосунку для зацифрованих документів “Дія”.

У Мінцифри повідомили, що хакерам вдалося виявити лише  два технічних баги низького рівня, які були виправлені.

“Залучені фахівці надали інформацію про потенційно знайдені вразливості, які не стосуються і не впливають безпосередньо на роботу мобільного додатка Дія або API його серверної частини”, – заявив глава міністерства Михайло Федоров.

Зокрема, “білі хакери” знайшли такі уразливості:

  • Можливість згенерувати такий QR-код, при зчитуванні якого мобільний додаток вилітає з помилкою. Ця проблема не впливає на безпеку даних користувачів або сервісу, тому отримала найнижчий з можливих пріоритет рівня P5 (інформаційний).
  • Можливість отримання інформації про поліс страхування авто користувача при модифікації додатка, якщо відомий державний номер транспортного засобу та VIN-код. У Мінцифри відзначили, що ці дані доступні у відкритому доступі і не містять ніяких даних користувача або сервісу Дія, які підпадають під закон Про захист персональних даних. Ця вразливість отримала рівень P4 і ідентифікована як неспецифікована особливість роботи хмарних API, яка не призводить до витоку чутливої інформації.

Фахівці виявили уразливості рівня P4 отримають по $250 з загального призового фонду в $35 000 (1 млн грн). За виявлення багів низького рівня P5 за умовами програми виплати коштів не передбачалося.