Команда Міністерства цифрової трансформації на платформі Bugcrowd за підтримки Агентства США з міжнародного розвитку (USAID) провела тестування на знаходження можливих помилок у застосунку "Дія", під час якого не було виявлено вразливостей, які впливали б на безпеку застосунку.

Як повідомляється на сайті міністерства в середу, в процесі багбаунті було знайдено два технічні баги найнижчого рівня, які одразу були виправлені фахівцями проекту "Дія".

У міністерстві відзвітували, що серед знайдених під час Bug Bounty несуттєвих вразливостей, які вже виправила команда "Дії", були:

- можливість згенерувати такий QR-код, при зчитуванні якого мобільний застосунок вилітає з помилкою: проблема не впливає на безпеку даних користувачів чи сервісу, тому отримала найнижчий з можливих пріоритет рівня P5 (інформаційний);

- можливість отримання інформації про поліс страхування автотранспорту користувача при модифікації застосунку, якщо відомий державний номер транспортного засобу та VIN-код: інформація у відкритому доступі і не містить ніяких даних користувача чи сервісу "Дія", які можна віднести до тих, що підпадають під захист закону "Про захист персональних даних"; вразливість отримала рівень P4 та ідентифікована як неспецифікована особливість роботи хмарних API, що не призводить до витоку чутливої інформації.

Представники платформи Bugcrowd повідомили, що спеціалісти з виявлення вразливості рівня P4 отримають по $250 із загального призового фонду, який становив $35 тис.; за виявлення багу низького рівня P5, визначеного як інформаційний, за умовами програми виплати коштів не передбачалося.

Аналіз логів, отриманих під час кампанії, показав, що спеціалісти здійснили спроби виявити вразливості, які підпадають під такі категорії (згідно з класифікацією OWASP):

- Injection

- Broken Authentication

- Sensitive Data Exposure

- Broken Access Control

- Security Misconfiguration

- Insecure Deserialization

- Using Components with Known Vulnerabilities

Крім того, було перевірено API та протокол взаємодії з партнерськими організаціями з надсилання електронних версій документів із мобільного застосунку "Дія".

Спеціалісти, що брали участь у Bug Bounty, отримали всю належну документацію з високорівневим описом архітектури, організації роботи та API хмарних сервісів і мобільного застосунку "Дія".

Надані для тестування версії мобільного застосунку та API хмарних сервісів були ідентичні наявним у роботі застосунку на момент старту програми Bug Bounty. Єдині відмінності полягали у використанні емуляції роботи державних реєстрів та аутентифікації засобами BankId.

"Причина таких змін - наявні обмеження в чинному законодавстві та необхідність гарантування залученим фахівцям умов safe harbor, тобто надання гарантій, що спроби тестових атак на мобільний застосунок та сервісні API не будуть і не можуть розглядатися як порушення 361 статті Кримінального кодексу України", - наголосили в Мінцифри.

Як повідомлялося, з 8 до 15 грудня 2020 року Мінцифри за підтримки міжнародної платформи Bugcrowd та Агентства США з міжнародного розвитку (USAID) провела програму багбаунті для тестування безпеки iOS/Android мобільних застосунків та API сервісу "Дія".