Спрацював чарівний пендель і слоупоки нарешті щось вичавили з себе на тему Bug Bounty додатку Дія
Спрацював чарівний пендель і слоупоки нарешті щось вичавили з себе на тему Bug Bounty додатку Дія. Не пройшло і трьох тижнів.
Щось мені підказує, що якби я не буцнув «дієвих», – питання просто б замовчали.
То що ж повідомили нам фахівці з питань «роль кібербезпеки трохи перебільшена»? https://bit.ly/3o4gl6w
У своєму дописі п’ять днів тому https://bit.ly/2WUlmma я розказав про чотири варіанти реагування, і “дієві» обрали третій: сказати, що усі хакери Світу шукали-шукали вразливості – і не змогли знайти. І цей факт, на думку «трохи-перебільшених» автоматично мав б означати цілковиту та абсолютну безпеку коханої Дієчки.
Що сказати на це? Звісно, це черговий сеанс урино-офтальмології.
Брехня полягає у тому, що самої мобільної частини додатку на Bug Bounty по суті не показали, а винесли її лише у обфускованому вигляді. Саме ж Bug Bounty тривало лише тиждень, чого критично мало для декомпіляції та повноцінного аналізу.
І тому серйозних вразливостей не було знайдено. Точніше – ніхто не став заморочуватися і їх шукати.
Легальні етичні хакери нічого не знайшли не тому, що в Дії немає вразливостей, а тому, що їм не дали цього зробити. Учасники витратили свій час, але їм нічого не заплатили. Вони побачили як нечесно грають організатори і тому вдруге вже не прийдуть. Етичні хакери тобто.
Зате неетичні хакери-злочинці спокійно знайдуть усі вразливості і добре якщо просто зливатимуть собі тихенько бази даних. А то ж можуть і кремлядям продати вразливості, а ті вже змайструють з Дії кібер-ядерну бомбу.
Іншими словами – Bug Bounty додатку Дія було проведено суто формально, «на_відчипись», і єдиним справжнім завданням заходу було пропаганда начебто безпечності Дії.
А між тим у публічному доступі досі відсутня на нього документація, немає інформації про тестування на проникнення, недоступний вихідний код.
Тобто немає ніяких доказів безпечності додатку, які можна перевірити.
По результатах Bug Bounty платформа Bugcrowd випустила звіт https://bit.ly/3aQGYs5 , але він лише фіксує наслідки нечесних правил гри від міні-цифри: всього лише 4 (чотири!) учасника програми направили звіти про виявлені вразливості.
І оті 4 учасника відправили 6 репортів про свої знахідки, з них зарахували як валідні лише два, а чотири репорти забракували.
З двох валідних – заплатять лише за одну вразливість, та й то – найменшої вартості. Тобто з 35 000 доларів заплатять лише 250. Економія для USAID у 34 750 доларів. Цікаво, як спишуть невикористані кошти? Точніше так: «цікаво, чи спишуть невикористані кошти»?
До речі, на Bug Bounty запросили 83 дослідників, з яких погодилися взяти участь – 27.
Наступного разу буде 3-4, я думаю. Прийдуть лише ті, хто не курсі цього розводняка.
Сподіваюся, тепер ніхто не буде здивований, коли дієві кричатимуть на проплачених ефірах «ми успішно пройшли Bug Bounty!» на додачу до «ми успішно пройшли пентести».
Думаю, на цьому міні-цифра завдання переконання лохторату у безпечності додатку Дія вважатиме виконаною і нам залишається лише чекати «дня Х», коли ретельно приховані ризики реалізуються вибуховим чином. Як було з не-петею чи Прикарпаттяобленерго.
Але скоро свято, тому вже не псуватиму передноворічний настрій.
Цьому року залишилося менше 30 годин, а в мене ще річний огляд не готовий (біжить).