Veszélyben a Magyar Posta ügyfelei - komoly hibára bukkantak

A kritikus biztonsági hibáról november 20-án a posta.hu-n található hibabejelentőn tájékoztatta a Magyar Postát. Az online bejelentés tartalmazta, hogy milyen körülmények közt, milyen lépésekkel lehet reprodukálni a hibát. A bejelentésre november 21-én reagált a posta, további adatokat, screenshotokat kérve, amire november 27-én küldött választ a portál olvasója.

Másnap a következő választ kapta az állami cégtől, hogy ismert technikai fennakadásról van szó, és jelenleg is dolgoznak fejlesztők ennek elhárításán. Ám ezután, az első bejelentéstől számítva eltelt csaknem három hét alatt semmi változást nem tapasztalt.

Az Indexhez írt levelében pontosan leírta milyen lépésekkel, milyen jellegű adatokhoz lehet jutni. A portálnál kipróbálták, a biztonsági rés valóban létezik, tetszőleges alkalommal reprodukálható.

A hiba kihasználásával random postai ügyfelek következő adatait lehet megszerezni:

feladó neve,
címzett magánszemély vagy cég címe,
küldeményazonosító,
küldemény jellege,
küldemény értéke,
kézbesítés státusza,
kézbesítés ideje.

Egy viszonylag egyszerű scripttel olyan adattömeget lehet lehúzni a posta oldaláról, amit akár vagyon elleni bűncselekmények elkövetéséhez is fel lehet használni. A be nem foltozott biztonsági rés a karácsonyi csomagdömping idején különösen aggasztó, mint ahogy az is, hogy a Magyar Posta jó ideje tud a biztonsági hibáról, de azt még nem javították.

A Magyar Posta sajtósai úgy reagáltak a problémára: dolgoznak a válaszon, de rendkívül leterhelt a kommunikációs osztály, így egyelőre nem tudják, mikor tudnak rá érdemben válaszolni.