Дія
Дія — мобільний застосунок, вебпортал і бренд цифрової держави в Україні, розроблений Міністерством цифрової трансформації України. Застосунок дає змогу зберігати водійське посвідчення, внутрішній і закордонний паспорти й інші документи в смартфоні, а також передавати їхні копії при отриманні банківських чи поштових послуг, заселенні в готель і в інших життєвих ситуаціях.
- Скарги на ефективність багбаунті Дії від Мінцифри
- Сумнівна ефективність ініціативи
- Незрозумілі механізми роботи застосунку
- Оригінальна версія застосунку не має вразливих компонентів, а тестова – аж чотири штуки!
- Число компонентів включених в оригінальну версію – набагато менше, ніж в тестовій, що швидше за все означає, що в новій версії доданий розширений функціонал, якого немає в поточній версії.
- Версії сильно відрізняються за розміром
- Різниця в версіях підтвердила той факт, що нам замість перевірки поточної версії видали нову, яку тільки планують запускати
- Ми проінформували про це громадскість
- Про наше розслідування було проінформоване Мінцифри, яке керує порталом «Дія» та визначає склад і функції електронного кабінету користувача, підсистем та програмних модулів порталу «Дія»
- Провівши аналіз, ГО «УНКД» знайшло ряд невідповідностей, які роблять даний конкурс нелегітимним та ставлять під сумнів вибір виконавця.
- Ми повідомили про це громадськість та Мінцифри, давши останнім змогу працювати над помилками
- Також було вказано на потенційну небезпеку додатку «Дія» перед спеціальною хакерською атакою
Підсумок – замість того, щоб виправити недоліки в поточній версії застосунку, нам пропонують протестувати майбутню версію. І це при тому, що навіть в поточній версії є підозра на вразливість перед спеціальною атакою. Подібна атака відбувається, коли інший додаток захоплює контроль над додатком «Дія» і імітує призначену для користувача активність після того, як користувач звернув додаток і виконувати різні дії в поточній сесії.
Доступ до Додатку доступний лише членам ГО УНКД
приєднатися
