Наприкінці осені найбільший український необанк вперше за шість років провів Bug Bounty. Monobank запрошував розробників долучитися до пошуку вразливостей у застосунку банку та отримати за це компенсацію. Стали відомі результати програми.
Перший хакатон від monobank тривав з 17 листопада до 1 грудня 2023 року включно. Його результатами поділився Chief Information Officer Fintech Band фінустанови Максим Пугач.
Заявки на участь у програмі Bug Bounty подали майже 1 000 розробників, 275 з них перейшли до наступного етапу та уклали з необанком угоди про нерозголошення (NDA). Відомо, що ці договори підписували за допомогою мобільного застосунку «Дія» – для додаткового захисту та, зокрема, відсіювання росіян, які намагалися взяти участь у програмі.
Найактивнішими учасниками хакатону виявилися 23 розробники, що загалом склали 46 звітів. За інформацією видання, вразливостей критичного рівня не виявили взагалі. Водночас хакери знайшли одну проблему високого рівня, яка могла би вплинути на безпеку програмного забезпечення та процеси, які воно підтримує. Також вдалося виявити дві вразливості рівня Р3, для активації яких потрібна незначна взаємодія з користувачем, та підтвердити шість вразливостей найнижчого рівня. Вони можуть становити небезпеку для окремих користувачів і вимагають взаємодії або значних передумов для запуску.
Як повідомляли в необанку, за виявлення проблем цих типів збиралися платити відповідно по 60 тис. грн, 40 тис. грн, 30 тис. грн та 10 тис. грн за одиницю.
За результатами програми, monobank заплатить $750 за знайдену вразливість другого рівня, по $500 за загрози третього рівня, та по $250 – за найнижчий. Усі хантери отримають по $100 додаткового заохочення за участь у програмі. Тобто перша програма Bug Bounty обійшлася фінустанові $6,8 тис.
Наступний хакатон планують оголосити за рік або два, це залежатиме від обсягу нових функцій у застосунку.
0 комментариев
Добавить комментарий