Айтішник з Миколаєва знайшов витік даних в сервісі «Укрпошти»: помилку усунули

Відділення УкрПошти. Фото: Укрпошта

Миколаївський ІТ-фахівець знайшов критичну вразливість у сервісі «Укрпошти» — вона дозволяла відкривати замовлення сторонніх людей і бачити їхні персональні дані.

Про це Юрій Решетнік написав у Facebook.

Про проблему спеціаліст одразу повідомив державний центр кіберзахисту CERT-UA. Там підтвердили: помилка справді була, її вже виправили, а витік — зупинили.

— Трошки врятував репутацію великого держпідприємства... Шкандаль би був рівня «тотальна ґотакоя». Не банк CERT-UA офіційно підтвердив: зафіксована мною уразливість у державному онлайн-сервісі усунена, а саме - виток персональних даних клієнтів повного «комплекту»: ПІБ, телефони, адреси, майже повні дані карток, суми оплати, пов'язані особи. Тепер, коли інцидент повністю ліквідовано, можу поділитися загальними деталями — без технічного PoC та без жодних персональних даних, – написав Юрій Решетнік.

Юрій Решетнік розповів, що достатньо було змінити кілька символів у посиланні — і відкривалися чужі замовлення. Каже, що такі помилки трапляються часто, але цього разу її виявили вчасно.

— У жовтні, під час роботи як клієнт з одним із сервісів держсектору, я помітив нестандартну поведінку інтерфейсу: при зміні частини URL система відкривала чужі об’єкти (замовлення), які користувач не мав би бачити. Я акуратно задокументував прояв, зашифрував матеріали й передав їх власнику та у CERT-UA через офіційний канал відповідального розкриття (CVD). Нещодавно отримав підтвердження: інцидент проаналізовано, уразливість закрита, – додав він.