Новий багбаунті «Дія»: у Мінцифри відповіли на претензії до вразливостей застосунку

Новий багбаунті «Дія»: у Мінцифри відповіли на претензії до вразливостей застосунку

Глава Мінцифри Михайло Федоров та керівник проекту USAID «Кібербезпека критично важливої інфраструктури України» Тімоті Дюбель розповіли деталі про другий Bug Bounty платформи «Дія» з призовим фондом 1 мільйон гривень ($35 тисяч).

«Процес» розібрався, що передбачає новий пошук вразливостей у «Дії», скільки він триватиме, на яких моментах зосередиться, а також що думають експерти з цифрової безпеки та Мінцифри про можливість відкрити акаунт у «Дії» з багатьох пристроїв одночасно.

Дія – найзахищеніший продукт в Україні, навіщо ще один багбаунті?

Віце-прем’єр-міністр, міністр цифрової трансформації України Михайло Федоров наголосив, що портал і застосунок Дія є одним із найбільш захищених продуктів в Україні.

«Ми дуже багато зробили, щоб Дія була продуктом одним із найзахищеніших у нашій країні. Ми отримали сертифікат КСЗІ – це свідчить що ми виконали усі умови щоб цей продукт був захиищений, пройшли усі етапи тестів, аудити, На кожному етапі 80% часу ми приділяємо безпеці. При запуску кожного сервісу ми його тестуємо, бета-тестуємо, окремо робимо тестування з точки зору кібербезпеки»

Також Мінцифри уже проводило перший багбаунті Дії минулого року. Тоді у роботі платформі не знайшли суттєвих вразливостей.

«Торік не було знайдено ніяких вразливостей. Були якісь маленькі, низького рівня технічні баги, які ми одразу виправили»

Проте нове тестування на вразливості потрібно, оскільки застосунок Дія активно розвивається, його аудиторія зростає, впроваджуються нові сервіси, а на тлі коронавірусних обмежень і цифровізації усе більше людей переходять в онлайн. Водночас і зростає роль захисту від кібератак. За словами очільника Мінцифри щодня у світі фіксують більше 2 тисяч офіційно зареєстрованих кібернападів на бізнес, уряди, держорганізації. І це є серйозним викликом для України.

Віце-прем’єр-міністр, міністр цифрової трансформації України Михайло Федоров:

«Тому Дія безпечна, але продукт розвивається і нам потрібно на кожному етапі пересвідчитись, що ми усе робимо правильно і що ми робимо усе, аби хакер не міг нічого зробити з нашим продуктом і з вашими персональними даними»

Новий етап багбаунті «Дія»: скільки він триватиме та де можна взяти участь

Віце-прем’єр-міністр, міністр цифрової трансформації України Михайло Федоров:

«Досвід багбаунті використовують різні країни, уряди організації: і Facebook, і Google, i Tesla, торік був хакатон-багбаунті Пентагону. Це показує, що це єдиний правильний шлях у 21 столітті для розвитку кіберзахисту – коли ти відкритий максимально і свій продукт розгортаєш на платформі і його можуть протестувати  хакери з усього світу… Я вважаю, що багбаунті повинен проходити постійно»

  • Другий етап багбаунті Дія пройде на платформі BugCrowd
  • Він триватиме півроку
  • Взяти участь у пошуку вразливостей Дії може будь-який спеціаліст із будь якої країни світу
  • Вразливості шукатимуть не у самій Дії, а її копії
  • Один із фокусів багбаунті – перевірка сервісів Дія.підпис і шеринг документів.
  • Призовий фонд – 1 млн гривень/ 35 тис доларів: за вразливості низького рівня можна отримати 200-250 доларів, за вразливість вищого рівня – 4-4,5 тис доларів.

Директор проекту USAID «Кібербезпека критично важливої інфраструктури України» Тімоті Дюбель зазначив, що важлива не сума винагороди, а мета і підхід та ідея залучити спільноту до пошуку вразливостей.

Дюбель підкреслив, що кібербезпека є одним із найважливішим елементом цифровізації. Він сподівається, що досвід Мінцифри з проведення багбаунті переймуть й інші українські установи, адже це популярна практика серед приватного і публічного сектору у всьому світі.

Тімоті Дюбель, директор проекту USAID “Кібербезпека критично важливої інфраструктури України”:

«Кібербезпека це суттєвий елемент успішної цифрової трансформації. Тому ми з радістю підтримуємо Мінцифри у наступній фазі багбаунті для застосунку Дія, щоб зробити його  надзвичайно захищеним, а також залучити спільноту і відкрито публікувати вразливості які було виявлено і виправлено. Цього разу намір полягає у тому щоб залучити ширше коло дослідників-тестерів протягом тривалішого періоду часу.  Ми сподіваємось що ця пррограма послужить прикладом для інших держустанов україни які також запускатимуть багбаунті»

Можливість зайти у «Дію» з кількох пристроїв одночасно. Вразливість чи ні?

Очільник Мінцифри Михайло Федоров також прокоментував деякі нюанси роботи «Дії», наприклад можливість одночасних сесій на різних пристроях та збої із входом в аккаунт і необхідність повторної авторизації.

Міністр зазначив, що «Дія» час від часу автоматично виконує вихід з вашого акаунту задля безпеки – це стане у нагоді, наприклад якщо у вас вкрали телефон. Тому і виникає періодична необхідність наново авторизувтаись у застосунку.

Віце-прем’єр-міністр, міністр цифрової трансформації України Михайло Федоров:

«Додаткове підтвердження особи – ще один критерій, який підтримує захист інформації про українців.. На випадки коли людина втратила телефон – ми регулярно повторно просим підтвердити особу – або через BankId або через фото-ідентифікацію – біометрію, коли обличчя перевіряється із фото з реєстрів. Є багато запобіжників щоб захистити додаток і інформацію, яка відображається у додатку Дія про вас»

Федоров також підкреслив, що можливість зайти у акаунт Дії з кількох пристроїв одночасно – не вразливість, а корисна функція. Завдяки їй ви можете мати доступ до своїх документів з різних гаджетів

«Одночасні сесії у Дії з кількох гаджетів – це не проблема взагалі. Нагадаю, що Дія не зберігає персональних даних, а лише тільки відображає дані з реєстрів. Це додатковий критерій захищеності».

Що кажуть експерти про одночасні сесії у Дії

Експерти неоднозначно ставляться до можливості запустити акаунт Дії з різних пристроїв. Деякі побоюються, що це створює додаткові ризики та відкриває нові можливості для злочинців і шахраїв.

Наприклад, консультанту та фахівцю з телекомунікаційного ринку Роману Хімічу вдалось зробити три копії «Дії» – відкрити три сесії одночасно. При тому, що у службі підтримки застосунку стверджували, що на двох пристроях в один час е-документи не відображатимуться.

Новий багбаунті «Дія»: у Мінцифри відповіли на претензії до вразливостей застосунку
фото: Roman Khimich Facebook

Проте на наступний день в підтримці відзначили, що існування “Дія” на різних пристроях – це не баг, а корисна можливість.

Новий багбаунті «Дія»: у Мінцифри відповіли на претензії до вразливостей застосунку
фото: Roman Khimich Facebook

Роман Хіміч консультант, експерт телекомунікаційного ринку у Facebook:

“Отже, всупереч твердженням представників ДП ​​Дія і здоровому глузду мені вдалося клонувати свої е-документи. Це дуже погана новина з точки зору безпеки. Зловмисники можуть без проблем заволодіти повнофункціональними документами громадян для здійснення найрізноманітніших протиправних дій.

Однак є один нюанс: клонувати «Дію» вдалось лише за допомогою входу через BankID НБУ, а от спроби із повторною авторизацією через ID-картку (NFC-авторизація)  зазнали невдачі.

І хоч при відкритті нової сесії «Дії», на інші ваші акаунти приходять сповіщення про це, у користувача немає можливості підтвердити чи відхилити таку авторизацію, чим можуть скористатись зловмисники.

Роман Хіміч консультант, експерт телекомунікаційного ринку у Facebook:

«При активації чергового примірника “е-документів” на вже встановлені копії Дії приходять відповідні повідомлення. Однак можливості підтвердити або відкинути цю операцію у користувача немає. Якщо справа відбувається вночі, ви дізнаєтеся про те, що сталося тільки вранці, маючи на руках купу оформлених від вашого імені кредитів. Півгодини – годину і все готово. Злочинці діють дуже швидко і рідко залишають жертвам достатньо часу для ефективного опору!»

Фахівець з інформаційної безпеки Костянтин Корсун навіть описав приблизну схему, як одночасні сеанси у Дії можуть стати у нагоді шахраям.

  • За його словами, шахраї купують в інтернеті чужі документи, розруковує їх і наклеює на імпровізовану “обкладинку паспорта”. Далі він або замінює фото людини у краденому паспорті на своє або гримується до схожості з оригіналом.
  • Потім зловмисник відкриває рахунок на сайті банку у режимі онлайн без візиту у відділення (останнім часом усе більше фінустанов дають можливість дистанційного відкриття рахунку через карантин). Для цього більшість банків перевіряють особу через відеодзвінок та вимагають скани документів. Але відеозв’язок не дає можливості якісно перевірити паспорт і його захисні ознаки та обличчя людини.  А у разі провалу, шахрац нічим не ризикує, бо банк не знає, де він знаходиться фізично.
  • Після успішної відеоавторизації з чужим паспортом, банк відкриває зловмиснику рахунок на ім’я особи, документ якої потрапив у мережу. Потім шахрай просить формування ЕЦП/Bank-ID для використання на державних сервісах.
  • Уже із офіційним зареєстрованим Bank-ID зловмисник реєструється у Дії від імені людини, документ, якої отримав, та спокійно бере кредити.

Фахівець з інформаційної безпеки Костянтин Корсун у Facebook:

«Успішно верифікувавшись у додатку Дія та користуючись наданими Урядом України можливостями отримання кредитів з використанням ідентифікації через додаток Дія, шахрай оформлює кредит у тому ж банку, або у будь-якому іншому, які приймають Дію онлайн (4 банки), або оффлайн (7 банків)»  

Таким чином можливість активації акаунту в Дії на кількох пристроях одночасно є ризиковим для користувачів застосунку, кажуть експерти. Адже якщо жертва вже зареєстрована у “Дії”, то логін з іншого пристрою в той самий акаунт не протирічить політиці безпеки Дії” і заборонити це ніяк не можна.  До того ж повідомлення про вхід з іншого пристрою у Дію можна не помітити (немає інтернету, увімкнений авіарежим, сповіщення загубилось у купі інших).

Другий етап багбаунті мобільного додатка держпослуг «Дія» стартує з 27 липня.

Content Protection by DMCA.com