monobank с 17 ноября по 1 декабря провел первый за шесть лет баг-баунти. О результатах хакатона Forbes рассказал Chief Information Officer Fintech Band Максим Пугач.
21 декабря 2023, 16:16
Читати українською
monobank провел первый за шесть лет баг-баунти
►Читайте телеграм-канал «Минфина»: главные финансовые новости
Подробности
Всего на участие в программе поиска уязвимостей (баг-баунти) в приложении monobank подали заявки около 1000 участников. На следующий этап перешли 275 человек — они подписали NDA с компанией.
Подписание NDA проходило через приложение «Дия», в том числе для того, чтобы отсеять граждан страны-агрессора.
Активно участвовали в баг-баунти 23 хантера, подавших 46 отчетов. Уязвимостей критического уровня (Р1) участники баг-баунти не обнаружили, уязвимостей высокого уровня (Р2) обнаружили две, уязвимостей уровня P3 — одну и шесть подтвержденных уязвимостей самого низкого уровня — Р4.
Самая большая награда, которую monobank выплатит по результатам баг-баунти — $750 за найденную уязвимость второго уровня. За найденные уязвимости третьего уровня (Р3) хантеры получат по $500, а вознаграждение за найденные уязвимости четвертого уровня (Р4) — $250. Уязвимостей последнего типа хантеры нашли шесть.
Также всем хантерам выплатят дополнительно по $100 за участие в баг-баунти. В целом mono выплатит участникам программы $6800.
Следующее баг-баунти в monobank планируют провести через год или два. «Выбор периодичности будет зависеть от объема новых функций в приложении», — отметил Chief Information Officer Fintech Band Максим Пугач.
Источник:
Минфин
Комментарии - 20
При этом надо было подписать для участия договор (!) что в случае раскрытия конфиденциальной информации — тебя обязывает банк заплатить 1 000 000 гривен (!) штрафа + убытки.
То есть если по какой-то причине «белый хакер» не понравится МоноБанку — они его легко засудят, особенно учитывая коррупционные суды в Украине. А зная политику руководства МоноБанка — которые блокируют участников по геолокации/по политическим причинам и так далее — лучше обходить десятой дорогой подобные предложения и адекватные «белые хакеры» это понимают.
Посмотрел бы Гороховский как проводят подобные программы крупные компании вроде Amazon / Meta / Google и др. — может быть чему-то научились и привлекли бы серьёзных людей, которые бы нашли дыры в безопасности. Ну, а так всему чему научились — хвалиться что отбили DDOS-атаку, которую по факту отбил Амазон S3.
У банка хорошее приложение и интересная разработка, действительно полезная для многих украинцев. Но то какую политику ведёт руководство — вызывает скорее неприязнь. И провалы с громкими запусками в европейских странах — тоже показательны.
Ну, а судьбу Моно хорошо увидим как начнутся проблемы у всей банковской системы после включения печатного станка. Почитаю тогда новости про там «всё круто»)
ничего у сервиса монобанк нет.
в 2015 году польский офис paypal заявил, что за вход в Украину у них запросили взятку руководство НБУ. они развернулись и уехали. пустите сюда paypal, revolut и увидите что такое fintech, а не котики с убогой анимацией в 2030 году
Є, і багато в чому Монобанк був піонером на українському ринку (як раніше ПриватБанк).
пустите сюда paypal
пайпал тут є вже багато років, до слова якраз в пайпала ніяких сервісів немає, є приховані та неочевидні умови та налаштування як от курс конвертації
revolut
револют це те саме що і Монобанк тільки з меншим набором сервісів
якщо «у Монобанка сервісів немає» то і револют нічим не порадує
уверен, что ничего не нашли потому что толковые парни участия не принимали
«
Is there a reward?
Once validated by Intigriti you will receive Intigriti reputation points as mentioned on this page: https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak
«
Упс, ні?
Толковые не принимали участие, а «бестолковые» все-таки что-то да нашли.
Серьёзные специалисты с хорошим багажом знаний, которые реально могли бы найти серьёзную дыру в приложении — скорее всего не пойдут за такое «солидное» вознаграждение делать тесты, требующие высокой квалификации (ещё и с такими условиями).
Кроме того, уже есть заявления на одном из технических форумов, что тестовая среда была ограничена (отличающаяся от реальной), что не позволило полноценно выявить все возможные проблемы.
Так что МоноБанк решил что отделался суммой в пару тысяч долларов — и думает, что провёл таким образом «серьёзное тестирование на безопасность». Считаю что это просто скорее какая-то показуха, которая в принципе — да — позволила им сделать небольшие улучшения.
Если серьёзные хакеры выберут именно МоноБанк как объект взлома — то не исключено, что дыра может быть найдена и достаточно серьёзная. Другое дело что есть ли смысл этим заниматься тем, кто собирался бы потенциально это делать — вот это уже зависит от многих факторов.
то не исключено, что дыра может быть найдена и достаточно серьёзная.»
Не захотели искать за небольшое вознаграждение, пусть ищут за свой счёт
и с перспективой либо ничего не найти либо найти и попасть
под уголовное преследование…
Каждый сам выбирает свою судьбу…
У серьёзных специалистов проблем с работой нет, просто за такие деньги и с такой политикой как у Моно — им это неинтересно. А работы у них и так хватает, и не за такие суммы как предложил Моно.
Я вам ответил на ваш текст, в котором нет ничего о «white hacking»:
«Если серьёзные хакеры выберут именно МоноБанк как объект взлома — то не исключено, что дыра может быть найдена и достаточно серьёзная.»
Есть «белые хакеры» (специалисты которые за деньги занимаются поиском уязвимостей на тестовых или реальных программных средах), есть «чёрные хакеры» — люди которые занимаются взломом и нарушением законов с целью определённой выгоды — как например группа российских хакеров, атаковавшая Киевстар.
Как правило, это совсем разные люди и даже в целях безопасности — первые на занимаются тем, что делают вторые и наоборот. «Белый хакинг» очень востребованная и престижная профессия на сегодня, а также высокооплачиваемая.
Поэтому Ваше предложение «не захотели за деньги» — абсолютно неуместно, потому что таких специалистов наоборот вербуют разные компании чтобы у себя обнаружить дыры в безопасности. И если им предлагают такие несерёзные деньги и условия как выставил МоноБанк — им это неинтересно, без работы они не останутся и не пойдут заниматсья «чёрным хакингом» потому что им не интересен монобанк. Но наоборот как раз такие «белые хакеры» должны находить проблемы, чтобы защититься от «чёрных хакеров».
И «черные», и «белые» — могут быть серьёзные специалисты, но их род деятельности разный.
МоноБанк сэкономил себе на «белых хакерах», а значит вероятно дыры серьёзные обнаружены не были (и соответственно устранены). За дыру первого уровня в нормальных компаниях меньше 10к$ не предлагают.
Вот только эти дыры как раз таки потом может использовать, например, российская группировка хакеров, которая имеет цель дестабилизировать Украину, как было с Киевстаром.
То есть это цена за поиск дыры, позволяющей стороннему человеку украсть деньги других пользователей просто так. Всё что нужно понимать насколько «ценит» МоноБанк своих клиентов.
Лучше бы не позорились с таким предложением. Программисты на форумах пишут откровенно саркастические заявления по этому поводу. Но наверное Гороховский как обычно выдаст это за свою «перемогу» :)
откровенно саркастические заявления по этому поводу»
Писать всякую туфту на форуме может любой школьник,
считающий себя крутым программером…
Ну высмеяли Гороховского и толку — денег у них
от этого не прибавилось, а Монобанк как работал
так продолжает работать и дальше…
Вы вправе верить во что угодно, но пока не было
зафиксировано ни одного реального взлома
мобильного приложения Монобанк…
А то что «пока не было взлома» — не гарантирует, что не будет в будущем. Может будет, может нет, но то сколько готовы выплатить за безопасность МоноБанк — очень показательно.
Киевстар тоже до этого в таких масштабах никто не взламывал. И тоже наверное там были уверены, что у них с безопасностью всё в порядке.
международные компании уровня ТОП-500
с локальным финтех-проектом Монобанк…
«Киевстар тоже до этого в таких
масштабах никто не взламывал»
Киевстар сдал продажный инсайдер,
владеющий не только админским доступом
к ядру системы, но и к узловым станциям в регионах.
Аналогично в своё время была хакнута ИТ-контора
разработчик Медка, в которой хакеры
безнаказано лазили по локалке более
месяца и отлаживали исходный код бэкдора
на компе одного из сисадминов, а затем
завирусованные файлы заносили в репозитарий
и выкладывали на ftp-сервер для скачивания клиентами.
Такое возможно только при наличии админского инсайда
или сисадмина в качестве пособника хакеров внутри компании…
Платить за такую информацию 60 тысяч гривен — это просто несерьёзность банка по отношению к такого рода проблемам, если они бы их беспокоили. И это позор даже для МоноБанка, который в ТОП-10 банков Украины входит, а так может быть сознательно была выставлена низкая сумма, чтобы потом не всплыло в новостях, что банк «дырявый» если бы нашли реальные дыры. Возможно руководство побоялось, что придут серьёзные специалисты, тут тоже сложно сказать, но ценник явно выставлен не для того, чтобы полноценно эти дыры были найдены и залатаны.
Если Вас интересует какие выплаты у самых топовых компаний — то там есть и цифры 300 тысяч долларов за подобного рода уязвимости (например у Meta).
--
Что касается Киевстара. При грамотно выстроенной системе — даже определённого рода администраторам дают ограниченные права.
Если смогли взломать через одного человека, который смог впустить на свой компьютер бэкдор — то это дырявая система в принципе, тут не админский инсайд сработал, а дырявость выстроенной инфраструктуры.
Если же какой-то суперадминистратор сознательно через свои сверхпривелегии смог слить всю систему, выстроенную с множеством уровней безопасности, будучи агентом оккупантов, глубоко влитым в систему — то таких людей как правило считанные единицы и их легко вычислят.
Остальное всё — не фактор инсайда, а фактор дырявой системы.
Вы сами не понимаете разницы между мобильным приложением и операционным днем банка…
Поэтому и генерите удивительные шедевры сказочного творчества.
Кстати, НБУ обязал все банки открыть свои API для сторонних разработчиков, так что в следующем году взламывать приложение Монобанк не будет никакого смысла — все API общения приложения Монобанка со шлюзом будут доступны для различных коллективов разработчиков, а значит легко могут уплыть и в руки любых хакеров…
P.S. Вы так активно хаете Монобанк — неужели уже сами его хакнули или только тешите себя иллюзиями…
P.P.S. Кроме Монобанка в Украине есть и более распространённые мобильные приложения, например Приват24.
И его до сих пор не хакнули даже без проведения всяких баг-баунти…
И разницу между приложением и операционным днём ясно что вижу — где вы такое нашли в моём сообщении или просто чтобы оклеветать и сказать про себя «какой я умный — а вокруг все дураки»? :)
По поводу «хейта» МоноБанка — я критикую руководство за их политику, а не само приложение. Приложение у них в целом хорошее и интересное.
По поводу API — наличие документации API в открытом доступе не обозначает глобально ничего, если мобильное приложение использует некоторый API для обещения с серверами МоноБанка — то его хакеры и так могут отследить, хотя понятно что открытая документация или какие-то дополнительные открытые API дадут больше (потенциально) возможностей хакерам.
И ещё: я не говорю что приложения дырявые. Возможно никто не взломает ни Приват24, ни МоноБанк или другие банки.
Возможно дыр там нет серьёзных, но во-первых, безопасность определяется не только принципом «пока никто не взломал» (многие взломы о которых писали — часто случались в первый раз после долгого времени), а во-вторых — моя критика изначально была к руководству банка что они выставили смешное вознаграждение за поиск критических уязвимостей.
И в этом моя критика руководства Моно. А так пусть что хотят то и делают)
Это их личное дело - какое вознаграждение предлагать.
К тому же нашлось достаточно большое количество
желающих и за такое мизерное вознаграждение
искать баги в приложении Монобанк.
Покриковали Монобанк,
высмеяли Гороховского — может
пора и успокоиться.