Уже в первые недели закрытого тестирования “ДиЯ” нашли несколько уязвимостей.

Техническому специалисту было выплачено $750 из призового фонда, рассказал Depo.ua руководитель по развитию электронных услуг в Министерстве цифровой трансформации Мстислав Баник.

Одной из уязвимостей была возможность доступа к инструменту тестирования мобильного приложения, с помощью которого можно получить доступ к другим тестовым учетным записям. Этот инструмент используется для тестирования мобильного приложения в отдельной тестовой среде без доступа в государственные реестры и его можно использовать только с четким перечнем тестовых записей.

“Однако, несмотря на то что этот инструмент отсутствует на продуктовой “ДиЯ” и сам по себе не является уязвимостью, мы признаем, что доступ к нему исследователей является неправильной конфигурацией в “баг баунти” – среде, и в соответствии с методологией Bugcrowd этому кейсу присваивается категория P3″, — заметил Баник.

Как известно, второе открытое Bug Bounty стартовало 27 июля. Оно продлится полгода, а его призовой фонд составляет 1 млн гривен. В нем может зарегистрироваться каждый желающий технический специалист на период проведения хакатонов.

Напомним, в декабре прошлого года Минцифры провело первый этап “баг баунти”. Впоследствии Федоров назвал “ДиЯ” самым безопасным ИТ-продуктом Украины.