monobank провел первый за шесть лет баг-баунти. Каковы его результаты

Ключевые факты

• Всего на участие в программе поиска уязвимостей (баг-баунти) в приложении monobank подали заявки около 1000 участников. На следующий этап перешли 275 человек – они подписали NDA с компанией.
• Подписание NDA проходило через приложение «Дія», в том числе для того, чтобы отсеять граждан страны-агрессора.
• Активно участвовали в баг-баунте 23 хантера, подавших 46 отчетов. Уязвимостей критического уровня (Р1) участники баг-баунти не обнаружили, уязвимостей высокого уровня (Р2) обнаружили две, уязвимостей уровня P3 – одну и шесть подтвержденных уязвимостей самого низкого уровня – Р4.
• Самая большая награда, которую monobank выплатит по результатам баг-баунти – $750 за найденную уязвимость второго уровня. За найденные уязвимости третьего уровня (Р3) хантеры получат по $500, а вознаграждение за найденные уязвимости четвертого уровня (Р4) – $250. Уязвимостей последнего типа хантеры нашли шесть.
• Также всем хантерам выплатят дополнительно по $100 за участие в баг-баунти. В целом mono выплатит участникам программы $6800.
• Следующее баг-баунти в monobank планируют провести через год или два. «Выбор периодичности будет зависеть от объема новых функций в приложении», – отметил Chief Information Officer Fintech Band Максим Пугач.

Контекст

В 2021 году Министерство цифровой трансформации проводило баг-баунти для приложения «Дія». В баг-баунти «белые хакеры» использовали копию приложения, а не общедоступную версию.

12 декабря хакеры совершили массированную DDoS-атаку на monobank. Объектами атаки являлись точки входа на Amazon. По словам совладельца банка Олега Гороховского, атаку удалось отбить.

Материалы по теме

Категория

Инновации

Дата

04 декабря 2023

Котики для ресторанов. monobank готовит релиз отдельного приложения Expirenza для посетителей ресторанов. Зачем необанку еще одно приложение?