Айтишник из Николаева нашел утечку данных в сервисе «Укрпочты»: ошибку устранили

Отделение УкрПочты. Фото: Укрпочта

Николаевский ИТ-специалист нашел критическую уязвимость в сервисе «Укрпочты» — она позволяла открывать заказы посторонних людей и видеть их персональные данные.

Об этом Юрий Решетник написал в Facebook.

О проблеме специалист сразу сообщил государственный центр киберзащиты CERT-UA. Там подтвердили: ошибка действительно была, ее уже исправили, а утечку — остановили.

— Немножко спас репутацию крупного госпредприятия... Шкандаль бы был уровня «тотальная готакоя». Не банк CERT-UA официально подтвердил: зафиксированная мной уязвимость в государственном онлайн-сервисе устранена, а именно — утечка персональных данных клиентов полного «комплекта»: ФИО, телефоны, адреса, почти полные данные карт, суммы оплаты, связанные лица. Теперь, когда инцидент полностью ликвидирован, могу поделиться общими деталями — без технического PoC и без персональных данных, — написал Юрий Решетник.

Юрий Решетник рассказал, что достаточно было изменить несколько символов в ссылке — и открывались чужие заказы. Говорит, что такие ошибки случаются часто, но на этот раз ее обнаружили вовремя.

— В октябре, во время работы в качестве клиента с одним из сервисов госсектора, я заметил нестандартное поведение интерфейса: при изменении части URL система открывала чужие объекты (заказы), которые пользователь не должен был бы видеть. Я аккуратно задокументировал проявление, зашифровал материалы и передал их владельцу и в CERT-UA через официальный канал ответственного раскрытия (CVD). Недавно получил подтверждение: инцидент проанализирован, уязвимость закрыта, — добавил он.