Результати першого Bug Bounty в monobank: які виявили загрози та скільки на цьому заробили розробники. Фото: Depositphotos
Наприкінці осені найбільший український необанк вперше за шість років провів Bug Bounty. monobank запрошував розробників долучитися до пошуку вразливостей у застосунку банку та отримати за це компенсацію. Стали відомі результати програми.
Перший хакатон від monobank тривав з 17 листопада до 1 грудня 2023 року включно. Його результатами із журналістами видання Forbes поділився Chief Information Officer Fintech Band фінустанови Максим Пугач. Редакція МС.today переповідає подробиці.
Заявки на участь у програмі Bug Bounty подали майже 1 000 розробників, 275 з них перейшли до наступного етапу та уклали з необанком угоди про нерозголошення (NDA). Відомо, що ці договори підписували за допомогою мобільного застосунку «Дія» – для додаткового захисту та, зокрема, відсіювання росіян, які намагалися взяти участь у програмі.
Найактивнішими учасниками хакатону виявилися 23 розробники, що загалом склали 46 звітів. За інформацією видання, вразливостей критичного рівня не виявили взагалі. Водночас хакери знайшли одну проблему високого рівня, яка могла би вплинути на безпеку програмного забезпечення та процеси, які воно підтримує. Також вдалося виявити дві вразливості рівня Р3, для активації яких потрібна незначна взаємодія з користувачем, та підтвердити шість вразливостей найнижчого рівня. Вони можуть становити небезпеку для окремих користувачів і вимагають взаємодії або значних передумов для запуску.
Читайте також: В Україні узаконили bug bounty. Що це таке та як допоможе
Як повідомляли в необанку, за виявлення проблем цих типів збиралися платити відповідно по 60 тис. грн, 40 тис. грн, 30 тис. грн та 10 тис. грн за одиницю.
За результатами програми, monobank заплатить $750 за знайдену вразливість другого рівня, по $500 за загрози третього рівня, та по $250 – за найнижчий. Усі хантери отримають по $100 додаткового заохочення за участь у програмі. Тобто перша програма Bug Bounty обійшлася фінустанові $6,8 тис.
Наступний хакатон планують оголосити за рік або два. Як розповів журналістам Пугач, це залежатиме від обсягу нових функцій у застосунку.
Раніше ми також розповідали, що програму Bug Bounty відновили також на платформі державних закупівель Prozorro.
Айтівець і начальник Управління ІТ Міністерства оборони України Олег Берестовий іде з посади. На цій…
Транснаціональна компанія Visa запустила в Україні технологію, що дозволяє підтверджувати онлайн-покупки за допомогою біометрії –…
Очільник Міністерства цифрової трансформації Михайло Федоров повідомив, скільки податків сплатили резиденти «Дія.City» в І кварталі…
Українські айтівці Влад Кампов та Діма Малєєв запустили власний стартап mentor.sh – платформу для пошуку…
Засновниця та CEO BetterMe Вікторія Рєпа назвала пораду, яку вона хотіла б дати собі 8…
Станіслав Деркач все життя працював у сфері шоубізу, потім кинув собі виклик, пішов у кардинально…