$250 вместо миллиона. Поиск уязвимостей в Дие закончился провалом для "белых" хакеров
Опубликованно 05.01.2021 04:56
В дeкaбрe кoмaндa Министeрствa цифрoвoй трaнсфoрмaции подле пoддeржкe aгeнтствa пo мeждунaрoднoму рaзвитию СШA (USAID) провела возьми платформе Bugcrowd тестирование сервиса Дия. Уязвимостей, которые бы влияли держи безопасность не было найдено. Хакеры смогли заметить только два технических бага низкого уровня, которые единым) (духом были исправлены разработчиками Дия, говорится на сайте Минцифры.
Подписывайтесь возьми LIGA.Tech в Facebook: главные новости о технологиях
Посредь найденных во период багбаунти багов герольдия отмечает следующие пункты:
- Удобный случай сгенерировать такой QR-адрес, при считывании которого мобильное прикладывание вылетает с ошибкой. Буква проблема не влияет держи безопасность данных пользователей, оттого получила самый низенький приоритет уровня P5.
- Замазка получения информации о полисе страхования автомобиля пользователя близ модификации приложения, в противном случае известен госномер мотор и VIN-код. Поскольку буква информация и так принимать в открытом доступе и без- содержит данных пользователя другими словами сервиса, которые бы подпадали почти защиту Закона "О защите персональных данных ", такая незащищенность получила уровень P4.
Представители платформы Bugcrowd сообщили, ась? специалисты, выявившие чувствительность уровня P4 получат $250 изо общего призового фонда, что составил $35 000. Выявление бага уровня P5 сообразно условиям программы невыгодный предусматривало выплат изо призового фонда.
Баг-баунти (Bug Bounty) – сие процесс, в котором у них своя свад привлекает сторонних специалистов по мнению кибербезопасности для тестирования своего программного обеспечения возьми уязвимости. За каждую найденную незащищенность (баг) люди получают одаривание (баунти).
Всего, к баг-баунти приложения Дія были привлечены 84 специалистов, которые соответствуют заданным критериям, 14 изо которых – украинцы.
Категория: Техника