Приложение "Дия" прошло проверку на безопасность

Отмечается, что в приложении не обнаружили уязвимостей, которые бы влияли на безопасность. Были найдены два технических бага самого низкого уровня, которые сразу были исправлены специалистами проекта "Дия".

Среди найденных во время программы Bug Bounty несущественных уязвимостей, которые уже исправила команда проекта "Дия":

• возможность сгенерировать такой QR-код, при считывании которого мобильное приложение вылетает с ошибкой. Эта проблема не влияет на безопасность данных пользователей или сервиса, поэтому получила самый низкий из возможных приоритет уровня P5 (информационный);
• возможность получения информации о полисе страхования автотранспорта пользователя при модификации приложения, если известен государственный номер транспортного средства и VIN-код. Такая информация доступна в открытом доступе, например, по ссылке – https://policy-web.mtsbu.ua, и не содержит никаких данных пользователя или сервиса "Дия", которые можно отнести к тем, которые подпадают под защиту в соответствии с Законом "О защите персональных данных". Поэтому эта уязвимость получила уровень P4 и идентифицирована как неспецифическая особенность работы облачных API, что не приводит к утечке чувствительной информации.

Представители платформы Bugcrowd сообщили, что специалисты за обнаружение уязвимости уровня P4 получат по 250 долларов из общего призового фонда, который составил 35 тыс. долларов; за выявление ошибки самого низкого уровня P5, определенного как информационный, по условиям программы выплата средств не предусматривалась.

Также был проверен API и протокол взаимодействия с партнерскими организациями по отправке электронных версий документов с мобильного приложения "Дия".

Специалисты, которые принимали участие в Bug Bounty, получили всю надлежащую документацию с высокоуровневым описанием архитектуры, организации работы и API облачных сервисов и мобильного приложения "Дия".

Сообщается, что предоставленные версии мобильного приложения и API облачных сервисов идентичны имеющимся в продуктивной среде на момент старта программы Bug Bounty. Единственные отличия заключались в использовании эмуляции работы государственных реестров и аутентификации средствами BankId. Причина таких изменений – имеющиеся ограничения в действующем законодательстве и необходимость гарантирования привлеченным специалистам условий safe harbor, то есть предоставление гарантий, что попытки тестовых атак на мобильное приложение и сервисные API не будут и не могут рассматриваться как нарушение статьи 361 Уголовного кодекса Украины.

"Баг баунти" (Bug Bounty) - это подход к тестированию и нахождению возможных ошибок и уязвимостей программных средств с привлечением специалистов по кибербезопасности, во время которого вознаграждаются только найденные и подтвержденные ошибки в соответствии с уровнем их опасности.

С 8 до 15 декабря 2020 года Минцифра при поддержке международной платформы Bugcrowd и агентства по международному развитию США (USAID) реализовала программу "Баг баунти" для тестирования безопасности iOS/Android мобильных приложений и API сервиса "Дия":  "этичные" хакеры со всего мира искали уязвимости его копии.

Bugcrowd привлекла 50 специалистов ("этичных" хакеров), которые соответствуют заданным критериям, а ходе реализации программы — дополнительно еще 33. То есть всего к участию в программе было привлечено 83 специалиста, из которых 27 приняли приглашение и присоединились к активной проверки (14 специалистов – из Украины).

Напомним, в Украине в октябре в приложении "Дия" появился сервис "Свидетельство о рождении ребенка", который подтягивается мгновенно в приложении родителей.

В ноябре Министерство цифровой трансформации добавило профиль избирателя в электронный кабинет гражданина на портале "Дия".