Айтішник з Миколаєва знайшов витік даних в сервісі «Укрпошти»: помилку усунули
- Новини Миколаєва
-
•
-
- Аліна Квітко
-
•
-
16:50, 29 листопада, 2025
-
5000 +
Вражаюче! Цей матеріал прочитали вже понад 5,000 відвідувачів!
Відділення УкрПошти. Фото: УкрпоштаМиколаївський ІТ-фахівець знайшов критичну вразливість у сервісі «Укрпошти» — вона дозволяла відкривати замовлення сторонніх людей і бачити їхні персональні дані.
Про це Юрій Решетнік написав у Facebook.
Про проблему спеціаліст одразу повідомив державний центр кіберзахисту CERT-UA. Там підтвердили: помилка справді була, її вже виправили, а витік — зупинили.
— Трошки врятував репутацію великого держпідприємства... Шкандаль би був рівня «тотальна ґотакоя». Не банк CERT-UA офіційно підтвердив: зафіксована мною уразливість у державному онлайн-сервісі усунена, а саме — виток персональних даних клієнтів повного «комплекту»: ПІБ, телефони, адреси, майже повні дані карток, суми оплати, пов'язані особи. Тепер, коли інцидент повністю ліквідовано, можу поділитися загальними деталями — без технічного PoC та без жодних персональних даних, — написав Юрій Решетнік.
Юрій Решетнік розповів, що достатньо було змінити кілька символів у посиланні — і відкривалися чужі замовлення. Каже, що такі помилки трапляються часто, але цього разу її виявили вчасно.
— У жовтні, під час роботи як клієнт з одним із сервісів держсектору, я помітив нестандартну поведінку інтерфейсу: при зміні частини URL система відкривала чужі об’єкти (замовлення), які користувач не мав би бачити. Я акуратно задокументував прояв, зашифрував матеріали й передав їх власнику та у CERT-UA через офіційний канал відповідального розкриття (CVD). Нещодавно отримав підтвердження: інцидент проаналізовано, уразливість закрита, — додав він.
Раніше повідомлялось, що фахівці з кібербезпеки з Cybernews виявили витік даних. Понад 16 мільярдів унікальних облікових записів, з логінами та паролями, опинилися у відкритому доступі.