$250 вместо миллиона. Поиск уязвимостей в Дие закончился провалом для «белых» хакеров

f5ff777625d271b965fb8f78f46ee1e0

В дeкaбрe кoмaндa Министeрствa цифрoвoй трaнсфoрмaции быть пoддeржкe aгeнтствa пo мeждунaрoднoму рaзвитию СШA (USAID) прoвeлa получай платформе Bugcrowd   тестирование сервиса Дия. Уязвимостей, которые бы влияли возьми безопасность не было найдено. Хакеры смогли вскрыть только два технических бага низкого уровня, которые запоем (пить были исправлены разработчиками   Дия,   говорится   бери сайте Минцифры.

Подписывайтесь для LIGA.Tech в Facebook: главные новости о технологиях

Средь найденных во время багбаунти багов область отмечает следующие пункты:

  • Способ сгенерировать такой QR-код, быть считывании которого мобильное применение вылетает с ошибкой. Эта дело не влияет на устойчивость данных пользователей, поэтому получила самый малорослый приоритет уровня P5.
  • Возможность получения информации о полисе страхования автомобиля пользователя присутствие модификации приложения, если известный госномер авто и VIN-код. Потому как эта информация и так принимать в открытом доступе и не заключает данных пользователя или сервиса, которые бы подпадали подо защиту Закона «О защите персональных данных «, такая небезупречность получила уровень P4.

Представители платформы Bugcrowd сообщили, яко специалисты, выявившие уязвимость уровня P4 получат $250 изо общего призового фонда, какой-либо составил $35 000. Обнаружение бага уровня P5 в области условиям программы не предусматривало выплат с призового фонда.

Баг-баунти (Bug Bounty) – сие процесс, в котором компания привлекает сторонних специалистов по мнению кибербезопасности для тестирования своего программного обеспечения получи уязвимости. За каждую найденную слабость (баг) люди получают жалование (баунти).

Всего, к баг-баунти приложения Дія   были привлечены 84 специалистов, которые соответствуют заданным критериям, 14 изо которых – украинцы.

Комментирование и размещение ссылок запрещено.

Комментарии закрыты.