Рубріки: Інфопривід

monobank провів перший Bug Bounty. Які загрози знайшли та скільки на цьому заробили хакери

Наприкінці осені найбільший український необанк вперше за шість років провів Bug Bounty. monobank запрошував розробників долучитися до пошуку вразливостей у застосунку банку та отримати за це компенсацію. Стали відомі результати програми.

Перший хакатон від monobank тривав з 17 листопада до 1 грудня 2023 року включно. Його результатами із журналістами видання Forbes поділився Chief Information Officer Fintech Band фінустанови Максим Пугач. Редакція МС.today переповідає подробиці.

Заявки на участь у програмі Bug Bounty подали майже 1 000 розробників, 275 з них перейшли до наступного етапу та уклали з необанком угоди про нерозголошення (NDA). Відомо, що ці договори підписували за допомогою мобільного застосунку «Дія» – для додаткового захисту та, зокрема, відсіювання росіян, які намагалися взяти участь у програмі.

Найактивнішими учасниками хакатону виявилися 23 розробники, що загалом склали 46 звітів. За інформацією видання, вразливостей критичного рівня не виявили взагалі. Водночас хакери знайшли одну проблему високого рівня, яка могла би вплинути на безпеку програмного забезпечення та процеси, які воно підтримує. Також вдалося виявити дві вразливості рівня Р3, для активації  яких потрібна незначна взаємодія з користувачем, та підтвердити шість вразливостей найнижчого рівня. Вони можуть становити небезпеку для окремих користувачів і вимагають взаємодії або значних передумов для запуску.

Читайте також: В Україні узаконили bug bounty. Що це таке та як допоможе

Як повідомляли в необанку, за виявлення проблем цих типів збиралися платити відповідно по 60 тис. грн, 40 тис. грн, 30 тис. грн та 10 тис. грн за одиницю.

За результатами програми, monobank заплатить $750 за знайдену вразливість другого рівня, по $500 за загрози третього рівня, та по $250 – за найнижчий. Усі хантери отримають по $100 додаткового заохочення за участь у програмі. Тобто перша програма Bug Bounty обійшлася фінустанові $6,8 тис.

Наступний хакатон планують оголосити за рік або два. Як розповів журналістам Пугач, це залежатиме від обсягу нових функцій у застосунку.

Раніше ми також розповідали, що програму Bug Bounty відновили також на платформі державних закупівель Prozorro.

Нещодавні статті

Борг виявився не боргом. monobank звернувся до суду для стягнення понад 50 тис. грн з клієнта

Universal Bank (до якого належить monobank) звернувся до суду для стягнення заборгованості з клієнта розміром…

10/07/2025

Bitget запускає щорічний трейдинговий турнір KCGI. Призовий фонд – 6 млн USDT

Світова криптобіржа та Web3-компанія Bitget офіційно відкрила реєстрацію на KCGI 2025 – трейдинговий турнір року…

10/07/2025

Як Bitget інтегрує xStocks відкриває новий клас активів для криптоінвесторів

Провідна світова криптовалютна біржа та Web3-компанія Bitget оголосила про підтримку токенізованих акцій на своїй платформі…

10/07/2025

У що вкласти $10 тис., якщо ви готові інвестувати довгостроково – думка Любомира Остапіва

Довгострокове інвестування – це не про миттєвий прибуток, а про розуміння трендів, які формують майбутнє.…

10/07/2025

Як перетворити хобі та дружбу на додаткові гроші – чоловік поділився власним досвідом

Навіть власне хобі та дружбу можна перетворити на підробіток. Таким чином улюблене заняття та люди,…

09/07/2025

GGBET став офіційним спонсором бою Усик – Дюбуа ІІ. Для фанів боксу передбачені спецпропозиції. Деталі

19 липня на арені «Вемблі» в Лондоні відбудеться поєдинок за звання абсолютного чемпіона світу у…

09/07/2025