В декабре команда Министерства цифровой трансформации при поддержке агентства по международному развитию США (USAID) провела на платформе Bugcrowd тестирование на нахождение возможных ошибок в мобильном приложении Дія. В итоге «белые» хакеры не выявили уязвимостей, которые бы влияли на безопасность. Однако было найдено два технических баги низкого уровня, которые сразу были исправлены специалистами проекту Дія.

Среди найденных во время Bug Bounty несущественных уязвимостей, которые уже исправила команда Дія:

1. Возможности сгенерировать такой QR-код, при считывании которого мобильный приложение вылетает с ошибкой. Эта проблема не влияет на безопасность данных пользователей или сервиса, поэтому получила самый низкий из возможных приоритет уровня P5 (информационный).

2. Возможности получения информации о полисе страхования автотранспорта пользователя при модификации приложения, если известен государственный номер транспортного средства и VIN-код. Однако эта информация доступна в открытом доступе (например, по ссылке https://policy-web.mtsbu.ua) и не содержит никаких данных пользователя или сервиса Дія, которые находятся под защитой Закона «О защите персональных данных». Уязвимость получила уровень P4 и идентифицирована как неспецифицированная особенность работы облачных API, которая не приводит к утечке чувствительной информации.

Представители платформы Bugcrowd сообщили, что специалисты по выявлению уязвимости уровня P4 получат по $250 из общего призового фонда, который составил всего $35 000; при обнаружении багу низкого уровня P5, определенного как информационный, по условиям программы выплаты средств не предусматривалось.

Анализ логов, полученных во время кампании, показал, что специалистами были выполнены попытки выявить уязвимости, которые подпадают под такие категории (согласно классификации OWASP):

1. Injection

2. Broken Authentication

3. Sensitive Data Exposure

4. Broken Access Control.

5. Security Misconfiguration

6. Insecure Deserialization

7. Using Components with Known Vulnerabilities

Также было проверено API и протокол взаимодействия с партнерскими организациями по отправке электронных версий документов с мобильного приложения Дія.

Специалисты (рисерчеры), которые участвовали в Bug Bounty, получили всю надлежащую документацию с высокоуровневым описанием архитектуры, организации работы и API облачных сервисов и мобильного приложения Дія.

Предоставляемые версии мобильного приложения и API облачных сервисов идентичны имеющимся в продуктивной среде на момент старта программы Bug Bounty. Единственные отличия заключались в использовании эмуляции работы государственных реестров и аутентификации средствами BankId. Причина таких изменений — имеющиеся ограничения в действующем законодательстве и необходимость обеспечения привлеченным специалистам условий safe harbor, то есть предоставление гарантий, что попытки тестовых атак на мобильное приложение и сервисные API не будут и не могут рассматриваться как нарушение 361 статьи Уголовного кодекса Украины.