Aa Aa Aa

Укрпочта засветила в сети конфиденциальные данные

Владимир Кондрашов
Укрпочта засветила в сети конфиденциальные данные

Эксперт по кибербезопасности Александр Галущенко обнаружил в свободном доступе в сети несколько терабайт данных «Укрпочты», среди которых – списки клиентов и почтовых отправлений, финансовая информация компании и другие конфиденциальные данные. По подсчетам эксперта, «дыра» в безопасности, в случае её использования злоумышленниками, могла стоить национальному почтовому оператору полмиллиарда гривен.

Об этом пишет InternetUA.

Сегодня, 18 марта, Александр Галущенко на своей странице в Facebook опубликовал информацию о том, что нашел брешь в сети Укрпочты, открывающую доступ к конфиденциальным данным компании:

– Укрпочта. Система платежей. Списки клиентов и почтовых отправлений. Что-то из старого по пенсиям. Некислый объем на несколько тер. Все четко разложено и готово к применению в незаконных схемах. И они рассказывают, что у них деньги не воруют.

Информацию об уязвимости эксперт подкрепил скриншотами с обнаруженного в сети диска с данными Укрпочты и добавил:

– Там есть все, чтобы стать главным системным администратором организации, главным бухгалтером, частично юристом и еще кем-то, в чем я точно не разбираюсь.

В комментарии нашему изданию Александр Галущенко уточнил, что обнаружил информацию на устройстве в одной из областей Украины, где были доступы к системе перевода денег, данным по пенсиям, доступ к бухгалтерии и другим критически важным ресурсам.  

Укрпочта довольно оперативно отреагировала на инцидент. Спустя несколько часов после обнародования информации об уязвимости руководитель Укрпочты Игорь Смелянский сообщил, что они проверяют информацию.

– Я попросил наших специалистов разобраться. Они уже и будут контактировать. Это часть работы. Такие инциденты (если это правда) бывают в любой компании, даже той, которая тратит миллиарды на ИТ-безопасность, – прокомментировал Игорь Смелянский.

Эксперт с таким тезисом не согласился, отметив, что обнаруженная брешь – «клинический случай», а её наличие «показывает отсутствие этой самой безопасности как класса вообще».

Также Смелянский получил от Александра Галущенко ссылку на зияющую в сети базу с конфиденциальной информацией. Спустя час уязвимость была закрыта.

– Достойная и адекватная реакция руководителя Укрпочты и всех связанных должностных лиц. Доступ закрыт, – прокомментировал Галущенко.

В свою очередь Игорь Смелянский пообещал наказать виновных:

– Надеюсь, мы ещё кое-кого за такой саботаж посадим. Но тут дело небыстрое.

Отметим, что в эту пятницу 22 марта в локации Core (корпус B8) Unit City (ул. Дорогожицкая 3, Киев) в 10:00 пройдет благотворительный семинар по кибербезопасности для малого и среднего бизнеса от профессионалов в сфере кибербезопасности. Главная идея семинара – дать бизнесу понять, что нужно сделать для самозащиты, познакомить с участниками рынка. Все средства от проведения мероприятия пойдут на лечение семнадцатилетнего сына Александра Галущенко Владимира, который борется с рецидивом страшной болезни. На сегодня семье необходимо оплатить долг перед клиникой в сумме семи тысяч долларов. Узнать, как помочь семье, можно здесь.