Миллион за взлом приложения "Дия": эксперт объяснил, почему эксперимент Минцифры провалился

Миллион за взлом приложения "Дия": эксперт объяснил, почему эксперимент Минцифры провалился
Эксклюзив
Читати українською

Киберспециалист утверждает, что участвовать в том эксперименте не было смысла

Анонсированная министром цифровой трансформации Михаилом Федоровым "акция" по выплате миллиона хакеру, который взломает приложение "Дия", на самом-то имела подводные камни. Более того, есть вопросы к эффективности такого эксперимента.

Об этом в комментарии APnews заявил специалист по кибербезопасности Виталий Якушев.

Напомним, в декабре 2020 года команда Министерства цифровой трансформации на платформе Bugcrowd при поддержке агентства по международному развитию США (USAID) провела тестирование (багбаунти) на нахождение возможных ошибок в "Дие" с призовым фондом в 1000000 гривен. Это был челлендж для "этических" хакеров со всего мира. Идея - «сломать» копию приложения и найти уязвимости в действии 2.0.

В Минцифры нам сообщили, что во время проведения программы Bug Bounty надежность была подтверждена.

"В приложении не выявили уязвимостей, которые бы влияли на безопасность. Найдено две технические ошибки низкого уровня, которые сразу были исправлены специалистами проекта Дия", - сказали в пресс-службе.

Однако, по словам Виталия Якушева, результативность эксперимента можно поставить под сомнение, как минимум, по двум причинам: во-первых, отсутствие доступа к исходному коду, во-вторых, потому что "сломать" дали не ту версию.

"На самом деле-то там была изложена не та версия "Дии", которая используется, не последняя версия приложения. Поэтому участвовать в том эксперименте не было смысла, ведь отсутствие ошибок в той версии не означает, что тех ошибок не будет в версии, которой на самом деле пользуются", - сказал Якушев.

О доступе к исходному коду сказал, что это "камень в огород" непрозрачности деятельности Министерства цифровой трансформации. Эксперт отметил, что поскольку "Дия" - коммерческое приложение, которым пользуются миллионы людей, доступ к исходному коду должен быть - для безопасности самих пользователей.

"Но Минцифры не предоставляет доступ. И когда проводился эксперимент, доступ не предоставили. К таким приложениям обязательно нужно давать исходный код, потому что это коммерческое приложение, им пользуются миллионы людей, и они должны понимать, что они пользуются им действительно безопасно", - отметил эксперт.

Виталий Якушев считает, что Минцифры надо больше внимания уделять донесению до людей того, как все работает, самой технологии. Это уменьшило бы радиус недоверия к самому приложению и количество вопросов к их деятельности.

Читайте также:
Киберэксперт пояснил, могут ли мошенники украсть личные данные из приложения "Дия" и набрать кредитов

Новости партнеров

В Украине потратят 693 млн гривен на кислородные концентраторы для семейных врачей
На Донбассе подорвалось авто ВСУ: один человек погиб, трое ранены