Súlyos biztonsági résre bukkant egy olvasónk a Magyar Posta weboldalán, véletlenül, normál használat közben. A hibát kihasználva érzékeny személyi adatok juthatnak illetéktelen kezekbe, amiket akár bűncselekmények elkövetéséhez is fel lehet használni.

A kritikus biztonsági hibáról november 20-án a posta.hu-n található hibabejelentőn tájékoztatta a Magyar Postát. Az online bejelentés tartalmazta, hogy milyen körülmények közt, milyen lépésekkel lehet reprodukálni a hibát. A bejelentésre november 21-én reagált a Posta, további adatokat, screenshotokat kérve, amire november 27-én küldött választ olvasónk. Másnap a következő választ kapta:

Tisztelt Ügyfelünk! Köszönjük válaszát. Az illetékes társosztály számára is ismert technikai fennakadásról van szó, és jelenleg is dolgoznak fejlesztőink ennek elhárításán. Türelmét és megértését előre is köszönjük.

Olvasónk tehát, hogy elkerülje a kellemetlen feljelentgetéssel párosult BKK-féle “hekkelésnek” még csak a gyanúját is, először az érintett szolgáltatóhoz fordult. Azonban az első bejelentéstől számítva eltelt csaknem három hét alatt semmi változást nem tapasztalt, így a nyilvánosság erejében bízva fordult a sajtóhoz.

Az Indexhez írt levelében pontosan leírta milyen lépésekkel, milyen jellegű adatokhoz lehet jutni. Kipróbáltuk, a biztonsági rés valóban létezik, tetszőleges alkalommal reprodukálható (természetesen itt nem írjuk le, hogy milyen lépések szükségesek a Magyar Posta ügyféladatainak megszerzéséhez):

Mint a fenti screenshotokból is látható, a hiba kihasználásával random postai ügyfelek következő adatait lehet megszerezni:

feladó neve,

címzett magánszemély vagy cég címe,

küldeményazonosító,

küldemény jellege,

küldemény értéke,

kézbesítés státusza,

kézbesítés ideje.

Egy viszonylag egyszerű scripttel olyan adattömeget lehet lehúzni a posta oldaláról, amit akár vagyon elleni bűncselekmények elkövetéséhez is fel lehet használni. A be nem foltozott biztonsági rés a karácsonyi csomagdömping idején különösen aggasztó, mint ahogy az is, hogy a Magyar Posta jó ideje tud a biztonsági hibáról, de azt még nem javították.

A kritikus adatbiztonsági hiányossággal kapcsolatban csütörtökön megkerestük a Magyar Postát, ahonnan azt a tájékoztatást kaptuk, hogy megkapták levelünket, dolgoznak a válaszon, de rendkívül leterhelt a kommunikációs osztály, így egyelőre nem tudják, mikor tudnak rá érdemben reagálni.

Frissítés

Cikkünk megjelenése után a Magyar Posta mégis válaszolt péntek késő délután. Mivel a válaszukból az derül ki, hogy a probléma még mindig fennáll, a konkrét hibát továbbra sem írjuk le. Mint írják, az olvasónk által felfedezett esetben "valóban előállhatott biztonsági probléma az egyik böngésző használata esetén".