monobank провел первый за шесть лет баг-баунти

monobank с 17 ноября по 1 декабря провел первый за шесть лет баг-баунти.

О результатах хакатона рассказал Chief Information Officer Fintech Band Максим Пугач в комментарии Forbes.

Всего на участие в программе поиска уязвимостей (баг-баунти) в приложении monobank подали заявки около 1000 участников. На следующий этап перешли 275 человек — они подписали NDA с ​​компанией.

Подписание NDA проходило через приложение «Дія», в том числе для того, чтобы отсеять граждан страны-агрессора.

Активно участвовали в баг-баунти 23 «белых хакера», которые подали 46 отчетов. Уязвимостей критического уровня (Р1) участники баг-баунти не обнаружили. Относительно уязвимостей высокого уровня (Р2) участники программы представили два отчета. Также участники баг-баунти обнаружили одну уязвимость уровня (Р3) и шесть подтвержденных уязвимостей самого низкого уровня — Р4.

Самая большая награда, которую monobank выплатит по результатам баг-баунти — $750 за найденную уязвимость второго уровня. За найденные уязвимости третьего уровня (Р3) «белые хакеры» получат по $500, а вознаграждение за найденные уязвимости четвертого уровня (Р4) — $250. Уязвимостей последнего типа нашли шесть.

Также всем «белым хакерам» выплатят дополнительно по $100 за участие в баг-баунти. В целом mono выплатит участникам программы $6800.

Следующее баг-баунти в monobank планируют провести через год или два. «Выбор периодичности будет зависеть от объема новых функций в приложении», — отметил Chief Information Officer Fintech Band Максим Пугач.

Напомним, 12 декабря хакеры совершили массированную DDoS-атаку на monobank. Объектами атаки стали точки входа на Amazon. По словам совладельца банка Олега Гороховского, атаку удалось отбить.