Súlyos biztonsági résre bukkant az Index.hu egy olvasója a Magyar Posta weboldalán, véletlenül, normál használat közben. A hibát kihasználva érzékeny személyi adatok juthatnak illetéktelen kezekbe, amiket akár bűncselekmények elkövetéséhez is fel lehet használni.
A kritikus biztonsági hibáról november 20-án a posta.hu-n található hibabejelentőn tájékoztatta a Magyar Postát. Az online bejelentés tartalmazta, hogy milyen körülmények közt, milyen lépésekkel lehet reprodukálni a hibát. A bejelentésre november 21-én reagált a Posta, további adatokat, screenshotokat kérve, amire november 27-én küldött választ az olvasó.
Az olvasó tehát, hogy elkerülje a kellemetlen feljelentgetéssel párosult BKK-féle “hekkelésnek” még csak a gyanúját is, először az érintett szolgáltatóhoz fordult. Azonban az első bejelentéstől számítva eltelt csaknem három hét alatt semmi változást nem tapasztalt, így a nyilvánosság erejében bízva fordult a sajtóhoz.
Az Indexhez írt levelében pontosan leírta milyen lépésekkel, milyen jellegű adatokhoz lehet jutni.
A hiba kihasználásával random postai ügyfelek következő adatait lehet megszerezni:
- feladó neve,
- címzett magánszemély vagy cég címe,
- küldeményazonosító,
- küldemény jellege,
- küldemény értéke,
- kézbesítés státusza,
- kézbesítés ideje.
Egy viszonylag egyszerű scripttel olyan adattömeget lehet lehúzni a posta oldaláról, amit akár vagyon elleni bűncselekmények elkövetéséhez is fel lehet használni. A be nem foltozott biztonsági rés a karácsonyi csomagdömping idején különösen aggasztó, mint ahogy az is, hogy a Magyar Posta jó ideje tud a biztonsági hibáról, de azt még nem javították.
Forrás:
http://index.hu/tech/2017/12/08/hatalmas_biztonsagi_res_tatong_a_magyar_posta_honlapjan/