21 Гру 2023

monobank провів перший Bug Bounty. Які загрози знайшли та скільки на цьому заробили хакери

Редакторка новин MC.today

Наприкінці осені найбільший український необанк вперше за шість років провів Bug Bounty. monobank запрошував розробників долучитися до пошуку вразливостей у застосунку банку та отримати за це компенсацію. Стали відомі результати програми.

Результати першого Bug Bounty в monobank: які виявили загрози та скільки на цьому заробили розробники. Фото: Depositphotos

Перший хакатон від monobank тривав з 17 листопада до 1 грудня 2023 року включно. Його результатами із журналістами видання Forbes поділився Chief Information Officer Fintech Band фінустанови Максим Пугач. Редакція МС.today переповідає подробиці.

Заявки на участь у програмі Bug Bounty подали майже 1 000 розробників, 275 з них перейшли до наступного етапу та уклали з необанком угоди про нерозголошення (NDA). Відомо, що ці договори підписували за допомогою мобільного застосунку «Дія» – для додаткового захисту та, зокрема, відсіювання росіян, які намагалися взяти участь у програмі.

Найактивнішими учасниками хакатону виявилися 23 розробники, що загалом склали 46 звітів. За інформацією видання, вразливостей критичного рівня не виявили взагалі. Водночас хакери знайшли одну проблему високого рівня, яка могла би вплинути на безпеку програмного забезпечення та процеси, які воно підтримує. Також вдалося виявити дві вразливості рівня Р3, для активації яких потрібна незначна взаємодія з користувачем, та підтвердити шість вразливостей найнижчого рівня. Вони можуть становити небезпеку для окремих користувачів і вимагають взаємодії або значних передумов для запуску.

Читайте також: В Україні узаконили bug bounty. Що це таке та як допоможе

Як повідомляли в необанку, за виявлення проблем цих типів збиралися платити відповідно по 60 тис. грн, 40 тис. грн, 30 тис. грн та 10 тис. грн за одиницю.

За результатами програми, monobank заплатить $750 за знайдену вразливість другого рівня, по $500 за загрози третього рівня, та по $250 – за найнижчий. Усі хантери отримають по $100 додаткового заохочення за участь у програмі. Тобто перша програма Bug Bounty обійшлася фінустанові $6,8 тис.

Наступний хакатон планують оголосити за рік або два. Як розповів журналістам Пугач, це залежатиме від обсягу нових функцій у застосунку.

Раніше ми також розповідали, що програму Bug Bounty відновили також на платформі державних закупівель Prozorro.