Результати першого Bug Bounty в monobank: які виявили загрози та скільки на цьому заробили розробники. Фото: Depositphotos
Наприкінці осені найбільший український необанк вперше за шість років провів Bug Bounty. monobank запрошував розробників долучитися до пошуку вразливостей у застосунку банку та отримати за це компенсацію. Стали відомі результати програми.
Перший хакатон від monobank тривав з 17 листопада до 1 грудня 2023 року включно. Його результатами із журналістами видання Forbes поділився Chief Information Officer Fintech Band фінустанови Максим Пугач. Редакція МС.today переповідає подробиці.
Заявки на участь у програмі Bug Bounty подали майже 1 000 розробників, 275 з них перейшли до наступного етапу та уклали з необанком угоди про нерозголошення (NDA). Відомо, що ці договори підписували за допомогою мобільного застосунку «Дія» – для додаткового захисту та, зокрема, відсіювання росіян, які намагалися взяти участь у програмі.
Найактивнішими учасниками хакатону виявилися 23 розробники, що загалом склали 46 звітів. За інформацією видання, вразливостей критичного рівня не виявили взагалі. Водночас хакери знайшли одну проблему високого рівня, яка могла би вплинути на безпеку програмного забезпечення та процеси, які воно підтримує. Також вдалося виявити дві вразливості рівня Р3, для активації яких потрібна незначна взаємодія з користувачем, та підтвердити шість вразливостей найнижчого рівня. Вони можуть становити небезпеку для окремих користувачів і вимагають взаємодії або значних передумов для запуску.
Читайте також: В Україні узаконили bug bounty. Що це таке та як допоможе
Як повідомляли в необанку, за виявлення проблем цих типів збиралися платити відповідно по 60 тис. грн, 40 тис. грн, 30 тис. грн та 10 тис. грн за одиницю.
За результатами програми, monobank заплатить $750 за знайдену вразливість другого рівня, по $500 за загрози третього рівня, та по $250 – за найнижчий. Усі хантери отримають по $100 додаткового заохочення за участь у програмі. Тобто перша програма Bug Bounty обійшлася фінустанові $6,8 тис.
Наступний хакатон планують оголосити за рік або два. Як розповів журналістам Пугач, це залежатиме від обсягу нових функцій у застосунку.
Раніше ми також розповідали, що програму Bug Bounty відновили також на платформі державних закупівель Prozorro.
Genesis Academy запускає безплатний освітній проєкт для ШІ-креаторів. Вони навчаться створювати сценарії та креативи за…
З 1 червня в Україні посилюються обмеження на карткові перекази коштів та через реквізити IBAN.…
Майбутнє HR виглядає як симбіоз технологій та людяності. Процеси найму дедалі більше рухаються у бік…
Senior Research Engineer в українській MacPaw Євгеній Петелієв запустив фоторедактор Huusion. Він зазначив, що застосунок…
Голова комітету ВРУ з питань фінансів, податкової та митної політики Данило Гетманцев розповів, як можуть…
Співзасновник і CEO Genesis Володимир Многолєтній розповів, що потрібно для того, аби почати власну справу…