Найбільший український необанк monobank з 17 листопада до 1 грудня провів перший за шість років баг-баунті. Про результати хакатону Forbes розповів Chief Information Officer Fintech Band Максим Пугач.
Ключові факти
- Всього на участь у програмі пошуку вразливостей (баг-баунті) у додатку monobank подали заявки майже 1000 учасників. На наступний етап перейшли 275 людей – вони підписали NDA з компанією.
- Підписання NDA відбувалося через додаток «Дія», зокрема для того, щоб відсіяти громадян країни-агресора.
- Активно брали участь в баг-баунті 23 «білі хакери», які подали 46 звітів. Вразливостей критичного рівня (Р1) учасники баг-баунті не виявили. Щодо вразливостей високого рівня (Р2) учасники програми подали два звіти. Також учасники баг-баунті знайшли одну вразливість рівня (Р3) та шість підтверджених вразливостей найнижчого рівня – Р4.
- Найбільша нагорода, яку monobank виплатить за результатами баг-баунті – $750 за знайдену вразливість другого рівня. За знайдені вразливості третього рівня (Р3) «білі хакери» отримають по $500, а винагорода за знайдені вразливості четвертого рівня (Р4) – $250. Вразливостей останнього типу знайшли шість.
- Також всім «білим хакерам» виплатять додатково по $100 за участь у баг-баунті. Загалом mono виплатить учасникам програми $6800.
- Наступне баг-баунті в monobank планують провести через рік або два. «Вибір періодичності залежатиме від обсягу нових функцій у додатку», – зазначив Chief Information Officer Fintech Band Максим Пугач.
Контекст
У 2021 році Міністерство цифрової трансформації проводило баг-баунті для застосунку «Дія». Під час баг-баунті «білі хакери» використовували копію додатку, а не загальнодоступну версію.
12 грудня хакери здійснили масовану DDoS-атаку на monobank. Обʼєктами атаки були точки входу на Amazon. За словами співвласника банку Олега Гороховського, атаку вдалося відбити.
