У Мінцифри оголосили результати "зламу" застосунку "Дія"

У Мінцифри оголосили результати "зламу" застосунку "Дія"

У Мінцифри оголосили результати "зламу" застосунку "Дія" УНІАН

Мобільний застосунок "Дія" пройшов перевірку багбаунтіПрограма Bug Bounty - це програма, пропонована багатьма веб-сайтами та розробниками програмного забезпечення, за допомогою якої люди можуть отримати визнання і винагороду за вивчення помилок, особливо тих, які стосуються вразливостей. Ці програми дозволяють розробникам розібратися і усунути помилки, перш ніж широка громадськість дізнається про них. Зокрема, програми Bug Bounty були реалізовані компаніями Facebook, Yahoo!, Google, Reddit, Square, Apple і Microsoft. на вразливості та підтвердив надійність додатку.

Про це у на своїй сторінці у Facebook написав міністр з цифрової трансформації Михайло Федоров.

За інформацією Мінцифри, у застосунку не виявили вразливостей, які б впливали на безпеку. Знайдено два технічні багиТехнічна помилка найнижчого рівня, які одразу були виправлені спеціалістами проєкту Дія:

  • Можливість згенерувати такий QR-код, при зчитуванні якого застосунок вилітає з помилкою. Ця проблема не впливає на безпеку даних користувачів чи сервісу, тому отримала пріоритет рівня P5 (інформаційний) — найнижчий з можливих.
  • Можливості отримання інформації про поліс страхування автотранспорту користувача при модифікації застосунку, якщо відомий державний номер транспортного засобу та VIN-код. Така інформація є у відкритому доступі й не містить жодних даних користувача чи сервісу Дія, які підпадають під захист ЗУ "Про захист персональних даних". Ця вразливість отримала рівень P4 як неспецифікована особливість роботи хмарних API, що не призводить до витоку чутливої інформації.

Представники платформи Bugcrowd повідомили, що виявлення вразливості рівня P4 етичні хакери отримають $250 із загального призового фонду у $35 000. За виявлення багу найнижчого рівня P5 виплати коштів не передбачалося.

Тестування застосунку відбувалось у грудні з 8 по 15 грудня за підтримки міжнародної платформи Bugcrowd та агентства з міжнародного розвитку США (USAID). 50 білих хакерів шукали вразливості у тестовому застосунку, де не було особистих даних користувачів.

Призовий фонд був сформований за підтримки проєкту USAID "Кібербезпека критично важливої інфраструктури в Україні".

Що відомо

  • Міністерство цифрової трансформації випустило освітній серіал про особливості технології штучного інтелекту для школярів України.
  • Кабінет міністрів ухвалив постанову, за якою буде дозволено в електронній формі реєструвати та зніматися з реєстрації місця проживання українцям від 14 років.
  • Кабмін на засіданні 2 грудня затвердив концепцію розвитку штучного інтелекту до 2030 року.
Категорії
ПолітикаЕкономікаКультураСвітСпортВідеоПодіїТоп дняПриродаРегіониСтильДітиНаукаТехнологіїУрбаністикаЇжаДомашні твариниЛюди