Міністерство цифрової трансформації розповідає, що у грудні їх команда на платформі Bugcrowd за підтримки агентства з міжнародного розвитку США (USAID) провела тестування на знаходження можливих помилок у Дії. У застосунку не виявили вразливостей, які б впливали на безпеку. Знайдено два технічні баги найнижчого рівня, які одразу були виправлені спеціалістами проєкту Дія.
«Команда Мінцифри забезпечує дуже високий рівень надійності даних і регулярно покращує безпеку продуктів. Дія – найбільш безпечний продукт, який створювався за останні роки. Щоб це довести, ми провели багбаунті застосунку Дія. Протягом програми залучені спеціалісти надали інформацію про потенційно знайдені вразливості, які не стосуються та не впливають безпосередньо на роботу мобільного застосунку Дія чи API його серверної частини».
Михайло Федоров
Серед знайдених під час Bug Bounty несуттєвих вразливостей, які вже виправила команда Дії:
- Можливості згенерувати такий QR-код, при зчитуванні якого мобільний застосунок вилітає з помилкою. Ця проблема не впливає на безпеку даних користувачів чи сервісу, тому отримала найнижчий з можливих пріоритет рівня P5 (інформаційний).
- Можливості отримання інформації про поліс страхування автотранспорту користувача при модифікації застосунку, якщо відомий державний номер транспортного засобу та VIN-код. Така інформація доступна у відкритому доступі, наприклад, за посиланням, та не містить ніяких даних користувача чи сервісу Дія, які можна віднести до тих, що підпадають під захист Закону «Про захист персональних даних». Тому ця вразливість отримала рівень P4 та ідентифікована як неспецифікована особливість роботи хмарних API, що не призводить до витоку чутливої інформації.
Представники платформи Bugcrowd повідомили, що спеціалісти за виявлення вразливості рівня P4 отримають по $250 із загального призового фонду, що становив $35 000; за виявлення багу найнижчого рівня P5, визначеного як інформаційний, за умовами програми виплати коштів не передбачалося.
Аналіз логів, отриманих під час кампанії, показав, що спеціалістами були виконані спроби виявити вразливості, які підпадають під такі категорії (відповідно до класифікації OWASP):
- Injection
- Broken Authentication
- Sensitive Data Exposure
- Broken Access Control.
- Security Misconfiguration
- Insecure Deserialization
- Using Components with Known Vulnerabilities
Також було перевірено API та протокол взаємодії з партнерськими організаціями з надсилання електронних версій документів з мобільного застосунку Дія.
Спеціалісти (рісерчери), які брали участь у Bug Bounty, отримали всю належну документацію з високорівневим описом архітектури, організації роботи та API хмарних сервісів та мобільного застосунку Дія.
Надані версії мобільного застосунку та API хмарних сервісів ідентичні наявним у продуктивному середовищі на момент старту програми Bug Bounty. Єдині відмінності полягали у використанні емуляції роботи державних реєстрів та аутентифікації засобами BankId. Причина таких змін – наявні обмеження в чинному законодавстві та необхідність гарантування залученим спеціалістам умов safe harbor, тобто надання гарантій, що спроби тестових атак на мобільний застосунок та сервісних API не будуть і не можуть розглядатися як порушення ст. 361 ККУ.
Для команди Міністерства цифрової трансформації та Дії кібербезпека – один з пріоритетів. Ми хочемо, щоб кожний громадянин України був впевнений у безпеці своїх даних у застосунку.
Для довідки:
Баг Баунті (Bug Bounty) – це підхід до тестування та знаходження можливих помилок і вразливостей у програмних засобах із залученням спеціалістів з кібербезпеки, під час якого винагороджуються тільки знайдені та підтверджені помилки відповідно до рівня їх небезпеки.
З 8 до 15 грудня 2020 року Мінцифра за підтримки міжнародної платформи Bugcrowd та агентства з міжнародного розвитку США (USAID) провела програму багбаунті для тестування безпеки iOS/Android мобільних застосунків та API сервісу Дія – «етичні» хакери з усього світу шукали вразливості його копії.
Bugcrowd залучила 50 спеціалістів («етичних» хакерів), які відповідають заданим критеріям, а протягом проведення програми – додатково ще 33. Тобто всього до участі в програмі всього було залучено 83 спеціалісти, з яких 27 прийняли запрошення та долучилися до активної перевірки (14 спеціалістів – з України).
До участі у програмі платформою Bugcrowd було запрошено спеціалістів за такими критеріями:
- Як мінімум 4 знайдені вразливості за весь час активностей на платформі Bugcrowd.
- Точність (відсоток підтверджених вразливостей) не менше 50% за останні 90 днів.
- За останні 90 днів знайдена і підтверджена хоча б одна вразливість рівня P3 та вище.
- За весь час знайдено і підтверджено як мінімум 3 вразливі рівня P3 та вище.
Завантажити звіт можна тут.