Мобільний додаток

Мільйон за злам: чому хакерам готові платити за пошук недоліків Дії

28.07.2021 р., 14:17

27-го липня стартував другий етап BugBounty – програми пошуку вразливостей у застосунку Дія. Для чого це роблять і скільки можна на цьому заробити, в ефірі Українського радіо відповідає керівник з розвитку електронних послуг у Міністерстві цифрової трансформації України Мстислав Банік.

Нагадаємо, що Дія — це портал, де можна отримати державні послуги онлайн, такі як електронний паспорт, електронні посвідчення водія, цифровий студентський квиток, відкрити або закрити ФОП та інші. Щоб отримувати усі ці послуги було зручно і безпечно, розробники ретельно працюють над захищеністю даних. У грудні минулого року провели перший етап BugBounty  і перевірили Дію на вразливість, завдяки  етичним "білим" хакерам з усього світу. 

Які послуги найпопулярніші у застосунку Дія?

Серед найпопулярніших послуг — відкриття бізнесу. У Дії, щоб відкрити ФОП, потрібно заповнити лише 10 полів. Сотні тисяч людей скористалися такою можливістю. На другому місці — комплексна послуга "єМалятко" для батьків новонароджених, яка включає в себе 9 державних послуг від різних органів влади. Понад 80% українських дітей реєструється через "єМалятко". На третьому місці — отримання матеріальної допомоги ФОПам і найманим працівникам. В грудні 2020 року 489 тисяч людей отримали кошти, а в 2021 році — 300 тисяч.

Коли опція із завантаженням covid-сертифікату запрацює у звичному, а не тестовому режимі?

Дійсно, ковідний сертифікат зараз працює в тестовому режимі. Ця послуга, сподіваюся, стане доступною за декілька тижнів, по закінченню тестування. Він може бути внутрішнім і міжнародним. Внутрішній діятиме на території України і включатиме інформацію про наявність в людини щеплення. Міжнародний поділятиметься на декілька типів: для людей, які мають 2 щеплення і людей з негативним ПЛР-тестом або які перехворіли і мають антитіла. Це — класичний документ, який міститиме дані про дату щеплення, назву вакцини і так далі. На звороті буде QR-код, особливість якого в тому, що він підписується електронними ключами і підробити чи замінити його неможливо. 

Що таке система BugBounty  і для чого вона потрібна?

BugBounty — це світова практика, програма з пошуку вразливостей. Фахівці з кібербезпеки за винагороду шукають слабкі місця у системі Дія. На першому етапі програми, проведеному у грудні, вразливостей не було знайдено. Але Дія розвивається, тому час запроваджувати новий пошук, щоб бути впевненими: ніяких ризиків немає. Зараз ми запускаємося на півроку. За цей час будь-хто може зареєструватися на Дії з фейковими даними і шукати вразливості. В разі знаходження — звернутися до нас, описати проблему, яку ми перевіримо, виправимо і видамо винагороду. 

Як розподілятимуть мільйон гривень, якщо кілька хакерів знайдуть помилки?

В залежності від рівня критичності цих знайдених вразливостей, призовий фонд починається із мінімальної суми 200-250 доларів, а за найбільшу вразливість — до 4,5 тисяч доларів. Є різні рівні, вони класифікуються і, відповідно до класифікацій, розподіляється призовий фонд. 

Чи зможе виявити вразливості звичайна людина?

Боюся, що ні. Але, крім технічної частини, є ще й іміджеве питання. Багато людей говорять про недоліки Дії, про ризик втрати особистих даних і так далі. Частина таких людей вважає себе фахівцями в питаннях кібербезпеки. Тому ми відкриті для кожного. Якщо людина вважає застосунок вразливим, то протягом півроку у неї є шанс це довести. 

Наскільки зараз безпечно користуватися застосунком Дія?

Підстав для хвилювання абсолютно немає. Всі перевірки, які проводилися раніше підтверджують повну безпеку. 

Фото: Мстислав Банік, сайт Дія 

Мільйон за злам: чому хакерам готові платити за пошук недоліків Дії

Новини по темі