Найбільший український необанк monobank з 17 листопада до 1 грудня провів перший за шість років баг-баунті. Про результати хакатону Forbes розповів Chief Information Officer Fintech Band Максим Пугач.
Ключові факти
- Всього на участь у програмі пошуку вразливостей (баг-баунті) у додатку monobank подали заявки майже 1000 учасників. На наступний етап перейшли 275 людей – вони підписали NDA з компанією.
- Підписання NDA відбувалося через додаток «Дія», зокрема для того, щоб відсіяти громадян країни-агресора.
- Активно брали участь в баг-баунті 23 «білі хакери», які подали 46 звітів. Вразливостей критичного рівня (Р1) учасники баг-баунті не виявили. Щодо вразливостей високого рівня (Р2) учасники програми подали два звіти. Також учасники баг-баунті знайшли одну вразливість рівня (Р3) та шість підтверджених вразливостей найнижчого рівня – Р4.
- Найбільша нагорода, яку monobank виплатить за результатами баг-баунті – $750 за знайдену вразливість другого рівня. За знайдені вразливості третього рівня (Р3) «білі хакери» отримають по $500, а винагорода за знайдені вразливості четвертого рівня (Р4) – $250. Вразливостей останнього типу знайшли шість.
- Також всім «білим хакерам» виплатять додатково по $100 за участь у баг-баунті. Загалом mono виплатить учасникам програми $6800.
- Наступне баг-баунті в monobank планують провести через рік або два. «Вибір періодичності залежатиме від обсягу нових функцій у додатку», – зазначив Chief Information Officer Fintech Band Максим Пугач.
Контекст
У 2021 році Міністерство цифрової трансформації проводило баг-баунті для застосунку «Дія». Під час баг-баунті «білі хакери» використовували копію додатку, а не загальнодоступну версію.
12 грудня хакери здійснили масовану DDoS-атаку на monobank. Обʼєктами атаки були точки входу на Amazon. За словами співвласника банку Олега Гороховського, атаку вдалося відбити.
Ви знайшли помилку чи неточність?
Залиште відгук для редакції. Ми врахуємо ваші зауваження якнайшвидше.