Минфин - Курсы валют Украины

Установить
21 декабря 2023, 16:16 Читати українською

monobank провел первый за шесть лет баг-баунти

monobank с 17 ноября по 1 декабря провел первый за шесть лет баг-баунти. О результатах хакатона Forbes рассказал Chief Information Officer Fintech Band Максим Пугач.

►Читайте телеграм-канал «Минфина»: главные финансовые новости

Подробности

Всего на участие в программе поиска уязвимостей (баг-баунти) в приложении monobank подали заявки около 1000 участников. На следующий этап перешли 275 человек — они подписали NDA с компанией.

Подписание NDA проходило через приложение «Дия», в том числе для того, чтобы отсеять граждан страны-агрессора.

Активно участвовали в баг-баунти 23 хантера, подавших 46 отчетов. Уязвимостей критического уровня (Р1) участники баг-баунти не обнаружили, уязвимостей высокого уровня (Р2) обнаружили две, уязвимостей уровня P3 — одну и шесть подтвержденных уязвимостей самого низкого уровня — Р4.

Самая большая награда, которую monobank выплатит по результатам баг-баунти — $750 за найденную уязвимость второго уровня. За найденные уязвимости третьего уровня (Р3) хантеры получат по $500, а вознаграждение за найденные уязвимости четвертого уровня (Р4) — $250. Уязвимостей последнего типа хантеры нашли шесть.

Также всем хантерам выплатят дополнительно по $100 за участие в баг-баунти. В целом mono выплатит участникам программы $6800.

Следующее баг-баунти в monobank планируют провести через год или два. «Выбор периодичности будет зависеть от объема новых функций в приложении», — отметил Chief Information Officer Fintech Band Максим Пугач.

Комментарии - 20

+
+30
Робин Гуд
Робин Гуд
21 декабря 2023, 18:20
#
Монобанк предложил такое «высокое» вознаграждение за участие в Bug Bounty — что аж 23 человека проявили активность — остальные вписались для количества видимо, включая наверное тех, что недавно прослушали какой-нибудь курс по безопасности для новичков.

При этом надо было подписать для участия договор (!) что в случае раскрытия конфиденциальной информации — тебя обязывает банк заплатить 1 000 000 гривен (!) штрафа + убытки.

То есть если по какой-то причине «белый хакер» не понравится МоноБанку — они его легко засудят, особенно учитывая коррупционные суды в Украине. А зная политику руководства МоноБанка — которые блокируют участников по геолокации/по политическим причинам и так далее — лучше обходить десятой дорогой подобные предложения и адекватные «белые хакеры» это понимают.

Посмотрел бы Гороховский как проводят подобные программы крупные компании вроде Amazon / Meta / Google и др. — может быть чему-то научились и привлекли бы серьёзных людей, которые бы нашли дыры в безопасности. Ну, а так всему чему научились — хвалиться что отбили DDOS-атаку, которую по факту отбил Амазон S3.

У банка хорошее приложение и интересная разработка, действительно полезная для многих украинцев. Но то какую политику ведёт руководство — вызывает скорее неприязнь. И провалы с громкими запусками в европейских странах — тоже показательны.

Ну, а судьбу Моно хорошо увидим как начнутся проблемы у всей банковской системы после включения печатного станка. Почитаю тогда новости про там «всё круто»)
+
+45
mphet26
mphet26
21 декабря 2023, 21:24
#
«У банка хорошее приложение и интересная разработка, действительно полезная для многих украинцев. Но то какую политику ведёт руководство — вызывает скорее неприязнь. И провалы с громкими запусками в европейских странах — тоже показательны.»

ничего у сервиса монобанк нет.
в 2015 году польский офис paypal заявил, что за вход в Украину у них запросили взятку руководство НБУ. они развернулись и уехали. пустите сюда paypal, revolut и увидите что такое fintech, а не котики с убогой анимацией в 2030 году
+
0
Три літри
Три літри
22 декабря 2023, 7:54
#
ничего у сервиса монобанк нет.

Є, і багато в чому Монобанк був піонером на українському ринку (як раніше ПриватБанк).

пустите сюда paypal

пайпал тут є вже багато років, до слова якраз в пайпала ніяких сервісів немає, є приховані та неочевидні умови та налаштування як от курс конвертації

revolut

револют це те саме що і Монобанк тільки з меншим набором сервісів
якщо «у Монобанка сервісів немає» то і револют нічим не порадує
+
+60
mphet26
mphet26
21 декабря 2023, 21:21
#
500$ за пентест. це якой-то позiр.
уверен, что ничего не нашли потому что толковые парни участия не принимали
+
0
Три літри
Три літри
22 декабря 2023, 8:04
#
До слова про револют в цьому контексті

«
Is there a reward?

Once validated by Intigriti you will receive Intigriti reputation points as mentioned on this page: https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak
«

Упс, ні?
+
0
Qwerty1999
Qwerty1999
22 декабря 2023, 8:56
#
Mphet26
Толковые не принимали участие, а «бестолковые» все-таки что-то да нашли.
+
+14
Робин Гуд
Робин Гуд
22 декабря 2023, 10:56
#
Даже программист среднего уровня может часто найти уязвимости низкого или среднего уровня, так сказать из серии «nice to have», потому что другие программисты что-то упустили из виду во время разработки. Нельзя сказать что он «бестолковый» — это просто латание небольших и средних, часто некритичных дыр. Даже сам Моно подтвердил что критичных уязвимостей первого уровня не было найдено (что не обозначает что их 100% нет).

Серьёзные специалисты с хорошим багажом знаний, которые реально могли бы найти серьёзную дыру в приложении — скорее всего не пойдут за такое «солидное» вознаграждение делать тесты, требующие высокой квалификации (ещё и с такими условиями).

Кроме того, уже есть заявления на одном из технических форумов, что тестовая среда была ограничена (отличающаяся от реальной), что не позволило полноценно выявить все возможные проблемы.

Так что МоноБанк решил что отделался суммой в пару тысяч долларов — и думает, что провёл таким образом «серьёзное тестирование на безопасность». Считаю что это просто скорее какая-то показуха, которая в принципе — да — позволила им сделать небольшие улучшения.

Если серьёзные хакеры выберут именно МоноБанк как объект взлома — то не исключено, что дыра может быть найдена и достаточно серьёзная. Другое дело что есть ли смысл этим заниматься тем, кто собирался бы потенциально это делать — вот это уже зависит от многих факторов.
+
0
Qwerty1999
Qwerty1999
22 декабря 2023, 11:03
#
«Если серьёзные хакеры выберут именно МоноБанк как объект взлома —
то не исключено, что дыра может быть найдена и достаточно серьёзная.»

Не захотели искать за небольшое вознаграждение, пусть ищут за свой счёт
и с перспективой либо ничего не найти либо найти и попасть
под уголовное преследование…
Каждый сам выбирает свою судьбу…
+
0
Робин Гуд
Робин Гуд
22 декабря 2023, 11:26
#
Вы наверное не понимаете механизм что такое «white hacking» — это не перспектива уголовного преследования, а участие в официальных программах, требующее серьёзных знаний инструментов, программирования и безопасности. White Hacking проводят многие фирмы часто внутренними отделами, а некоторые предлагают открытое тестирование, это не является уголовным преступлением, а очень востребованной услугой наоборот.

У серьёзных специалистов проблем с работой нет, просто за такие деньги и с такой политикой как у Моно — им это неинтересно. А работы у них и так хватает, и не за такие суммы как предложил Моно.
+
0
Qwerty1999
Qwerty1999
22 декабря 2023, 11:32
#
«Вы наверное не понимаете механизм что такое „white hacking“ — это не перспектива уголовного преследования,»

Я вам ответил на ваш текст, в котором нет ничего о «white hacking»:
«Если серьёзные хакеры выберут именно МоноБанк как объект взлома — то не исключено, что дыра может быть найдена и достаточно серьёзная.»
+
0
Робин Гуд
Робин Гуд
22 декабря 2023, 11:52
#
Ок объясню чтобы не было недопонимания:

Есть «белые хакеры» (специалисты которые за деньги занимаются поиском уязвимостей на тестовых или реальных программных средах), есть «чёрные хакеры» — люди которые занимаются взломом и нарушением законов с целью определённой выгоды — как например группа российских хакеров, атаковавшая Киевстар.

Как правило, это совсем разные люди и даже в целях безопасности — первые на занимаются тем, что делают вторые и наоборот. «Белый хакинг» очень востребованная и престижная профессия на сегодня, а также высокооплачиваемая.

Поэтому Ваше предложение «не захотели за деньги» — абсолютно неуместно, потому что таких специалистов наоборот вербуют разные компании чтобы у себя обнаружить дыры в безопасности. И если им предлагают такие несерёзные деньги и условия как выставил МоноБанк — им это неинтересно, без работы они не останутся и не пойдут заниматсья «чёрным хакингом» потому что им не интересен монобанк. Но наоборот как раз такие «белые хакеры» должны находить проблемы, чтобы защититься от «чёрных хакеров».

И «черные», и «белые» — могут быть серьёзные специалисты, но их род деятельности разный.

МоноБанк сэкономил себе на «белых хакерах», а значит вероятно дыры серьёзные обнаружены не были (и соответственно устранены). За дыру первого уровня в нормальных компаниях меньше 10к$ не предлагают.

Вот только эти дыры как раз таки потом может использовать, например, российская группировка хакеров, которая имеет цель дестабилизировать Украину, как было с Киевстаром.
+
0
Робин Гуд
Робин Гуд
22 декабря 2023, 12:16
#
Для понимания — МоноБанк предложил 60000 гривен вознаграждения за возможность поиска критической уязвимости, которая позволяет непривигелированному пользователю получить права администратора, украсть деньги.

То есть это цена за поиск дыры, позволяющей стороннему человеку украсть деньги других пользователей просто так. Всё что нужно понимать насколько «ценит» МоноБанк своих клиентов.

Лучше бы не позорились с таким предложением. Программисты на форумах пишут откровенно саркастические заявления по этому поводу. Но наверное Гороховский как обычно выдаст это за свою «перемогу» :)
+
0
Qwerty1999
Qwerty1999
22 декабря 2023, 13:13
#
«Программисты на форумах пишут
откровенно саркастические заявления по этому поводу»

Писать всякую туфту на форуме может любой школьник,
считающий себя крутым программером…

Ну высмеяли Гороховского и толку — денег у них
от этого не прибавилось, а Монобанк как работал
так продолжает работать и дальше…

Вы вправе верить во что угодно, но пока не было
зафиксировано ни одного реального взлома
мобильного приложения Монобанк…
+
0
Робин Гуд
Робин Гуд
22 декабря 2023, 13:29
#
Ну вы посмотрите сами сколько предлагают крупные компании за Bug Bounty критического уровня и сравните что предлагает МоноБанк. Отсюда и такие заявления.

А то что «пока не было взлома» — не гарантирует, что не будет в будущем. Может будет, может нет, но то сколько готовы выплатить за безопасность МоноБанк — очень показательно.

Киевстар тоже до этого в таких масштабах никто не взламывал. И тоже наверное там были уверены, что у них с безопасностью всё в порядке.
+
0
Qwerty1999
Qwerty1999
22 декабря 2023, 18:02
#
Вы наверное прикалываетесь, сравнивая крупные
международные компании уровня ТОП-500
с локальным финтех-проектом Монобанк…

«Киевстар тоже до этого в таких
масштабах никто не взламывал»


Киевстар сдал продажный инсайдер,
владеющий не только админским доступом
к ядру системы, но и к узловым станциям в регионах.

Аналогично в своё время была хакнута ИТ-контора
разработчик Медка, в которой хакеры
безнаказано лазили по локалке более
месяца и отлаживали исходный код бэкдора
на компе одного из сисадминов, а затем
завирусованные файлы заносили в репозитарий
и выкладывали на ftp-сервер для скачивания клиентами.
Такое возможно только при наличии админского инсайда
или сисадмина в качестве пособника хакеров внутри компании…
+
0
Робин Гуд
Робин Гуд
22 декабря 2023, 23:25
#
Вы явно не понимаете что такое уязвимость «критического уровня». Это по сути доступ к любому банковскому счёту в неограниченных количествах.

Платить за такую информацию 60 тысяч гривен — это просто несерьёзность банка по отношению к такого рода проблемам, если они бы их беспокоили. И это позор даже для МоноБанка, который в ТОП-10 банков Украины входит, а так может быть сознательно была выставлена низкая сумма, чтобы потом не всплыло в новостях, что банк «дырявый» если бы нашли реальные дыры. Возможно руководство побоялось, что придут серьёзные специалисты, тут тоже сложно сказать, но ценник явно выставлен не для того, чтобы полноценно эти дыры были найдены и залатаны.

Если Вас интересует какие выплаты у самых топовых компаний — то там есть и цифры 300 тысяч долларов за подобного рода уязвимости (например у Meta).

--
Что касается Киевстара. При грамотно выстроенной системе — даже определённого рода администраторам дают ограниченные права.

Если смогли взломать через одного человека, который смог впустить на свой компьютер бэкдор — то это дырявая система в принципе, тут не админский инсайд сработал, а дырявость выстроенной инфраструктуры.

Если же какой-то суперадминистратор сознательно через свои сверхпривелегии смог слить всю систему, выстроенную с множеством уровней безопасности, будучи агентом оккупантов, глубоко влитым в систему — то таких людей как правило считанные единицы и их легко вычислят.

Остальное всё — не фактор инсайда, а фактор дырявой системы.
+
0
Qwerty1999
Qwerty1999
23 декабря 2023, 8:13
#
Да хватит лапшу на уши вешать…
Вы сами не понимаете разницы между мобильным приложением и операционным днем банка…
Поэтому и генерите удивительные шедевры сказочного творчества.
Кстати, НБУ обязал все банки открыть свои API для сторонних разработчиков, так что в следующем году взламывать приложение Монобанк не будет никакого смысла — все API общения приложения Монобанка со шлюзом будут доступны для различных коллективов разработчиков, а значит легко могут уплыть и в руки любых хакеров…

P.S. Вы так активно хаете Монобанк — неужели уже сами его хакнули или только тешите себя иллюзиями…

P.P.S. Кроме Монобанка в Украине есть и более распространённые мобильные приложения, например Приват24.
И его до сих пор не хакнули даже без проведения всяких баг-баунти…
+
0
Робин Гуд
Робин Гуд
23 декабря 2023, 10:13
#
Я так понимаю когда у вас аргументы закончились, то вы решили просто написать что всё вышесказанное — бред и переходить на личности))) ну в общем у меня это вызывает только улыбку. А я пишу в том чём понимаю, но и не претендую на экспертность. Хакингом я не занимаюсь, если интересно.

И разницу между приложением и операционным днём ясно что вижу — где вы такое нашли в моём сообщении или просто чтобы оклеветать и сказать про себя «какой я умный — а вокруг все дураки»? :)

По поводу «хейта» МоноБанка — я критикую руководство за их политику, а не само приложение. Приложение у них в целом хорошее и интересное.

По поводу API — наличие документации API в открытом доступе не обозначает глобально ничего, если мобильное приложение использует некоторый API для обещения с серверами МоноБанка — то его хакеры и так могут отследить, хотя понятно что открытая документация или какие-то дополнительные открытые API дадут больше (потенциально) возможностей хакерам.

И ещё: я не говорю что приложения дырявые. Возможно никто не взломает ни Приват24, ни МоноБанк или другие банки.

Возможно дыр там нет серьёзных, но во-первых, безопасность определяется не только принципом «пока никто не взломал» (многие взломы о которых писали — часто случались в первый раз после долгого времени), а во-вторых — моя критика изначально была к руководству банка что они выставили смешное вознаграждение за поиск критических уязвимостей.

И в этом моя критика руководства Моно. А так пусть что хотят то и делают)
+
0
Qwerty1999
Qwerty1999
23 декабря 2023, 19:08
#
«моя критика изначально была к руководству банка что они выставили смешное вознаграждение за поиск критических уязвимостей.»

Это их личное дело - какое вознаграждение предлагать.
К тому же нашлось достаточно большое количество
желающих и за такое мизерное вознаграждение
искать баги в приложении Монобанк.

Покриковали Монобанк,
высмеяли Гороховского — может
пора и успокоиться.
+
0
Робин Гуд
Робин Гуд
24 декабря 2023, 1:29
#
На этом и закончим :) 23 человека активных нашли и пусть радуются :)
Чтобы оставить комментарий, нужно войти или зарегистрироваться