Приложение "Дия" прошло проверку на безопасность, - Минцифры
В декабре команда Министерства цифровой трансформации на платформе Bugcrowd при поддержке агентства по международному развитию США (USAID) провела тестирование на выявление возможных ошибок в приложении "Дия". Об этом сообщает пресс-служба министерства.
Отмечается, что в приложении не обнаружили уязвимостей, которые бы влияли на безопасность. Были найдены два технических бага самого низкого уровня, которые сразу были исправлены специалистами проекта Дия.
Среди найденных во время программы Bug Bounty несущественных уязвимостей, которые уже исправила команда "Дии":
- возможности сгенерировать такой QR-код, при считывании которого мобильное приложение вылетает с ошибкой. Эта проблема не влияет на безопасность данных пользователей или сервиса, поэтому получила самый низкий из возможных приоритет уровня P5 (информационный);
- возможности получения информации о полисе страхования автотранспорта пользователя при модификации приложения, если известен государственный номер транспортного средства и VIN-код. Такая информация доступна в открытом доступе, например, по ссылке - https://policy-web.mtsbu.ua, и не содержит никаких данных пользователя или сервиса Дия, которые можно отнести к тем, что подпадают под защиту Закона "О защите персональных данных". Поэтому эта уязвимость получила уровень P4 и идентифицирована как неспецифическая особенность работы облачных API, что не приводит к утечке чувствительной информации.
Представители платформы Bugcrowd сообщили, что специалисты за обнаружение уязвимости уровня P4 получат по 250 долларов из общего призового фонда, который составил 35 тыс. долларов; за выявление ошибки самого низкого уровня P5, определенного как информационный, по условиям программы выплаты средств не предусматривалось.
Также был проверен API и протокол взаимодействия с партнерскими организациями по отправке электронных версий документов с мобильного приложения "Дия".
Специалисты, которые принимали участие в Bug Bounty, получили всю надлежащую документацию с высокоуровневым описанием архитектуры, организации работы и API облачных сервисов и мобильного приложения "Дия".
Сообщается, что предоставленные версии мобильного приложения и API облачных сервисов идентичны имеющимся в продуктивном среде на момент старта программы Bug Bounty. Единственные отличия заключались в использовании эмуляции работы государственных реестров и аутентификации средствами BankId. Причина таких изменений - имеющиеся ограничения в действующем законодательстве и необходимость гарантирования привлеченным специалистам условий safe harbor, то есть предоставление гарантий, что попытки тестовых атак на мобильное приложение и сервисных API не будут и не могут рассматриваться как нарушение статьи 361 Уголовного кодекса Украины.
Баг баунти (Bug Bounty) - это подход к тестированию и нахождению возможных ошибок и уязвимостей в программных средствах с привлечением специалистов по кибербезопасности, во время которого вознаграждаются только найденные и подтвержденные ошибки в соответствии с уровнем их опасности.
С 8 до 15 декабря 2020 года Минцифра при поддержке международной платформы Bugcrowd и агентства по международному развитию США (USAID) провела программу багбаунти для тестирования безопасности iOS/Android мобильных приложений и API сервиса Дия - "этичные" хакеры со всего мира искали уязвимости его копии.
Bugcrowd привлекла 50 специалистов ("этических" хакеров), которые соответствуют заданным критериям, а в течение проведения программы - дополнительно еще 33. То есть всего к участию в программе всего было привлечено 83 специалисты, из которых 27 приняли приглашение и присоединились к активной проверки (14 специалистов - с Украины).
В ноябре министерство цифровой трансформации добавило профиль избирателя в электронный кабинет гражданина на портале "Дия".
Сайт и приложение "Дия" - единый государственный веб-портал электронных услуг, а также ключевой сервис в проекте "Государство в смартфоне". Они охватывают все услуги, которые государство предоставляет гражданам и бизнесу.
