Школяр хакнув поштомати: як так вийшло і чого очікувати?
16-річний школяр з Кривого Рогу знайшов вразливість у додатку поштової служби доставки і вкрав посилок на суму 500 тисяч гривень.
Про це офіційно повідомляє поліція Дніпропетровської області: неповнолітній хакер “детально вивчив алгоритм офіційного додатку служби доставки …. та створив програму, що дозволяла обійти стандартний процес оплати. ..В результаті посилки у додатку відображались як оплачені та видавалися з поштоматів без фактичної оплати”.
І все це юний ІТ-злочинець зробив “маючи базові знання програмування”.
А це означає, що у додатку був настільки слабкий захист, що його зміг обійти школяр з базовими знаннями.
Перше питання, яке у мене виникло – а чим займалася кібербезпека цієї поштової служби у цей час? Чому не проводили тестування додатку на подібні методики?
З’ясувалося, що наприклад, керівник кібербезпеки НП любить виступати на пафосних конференціях та розказувати про мільйони “відбитих” атак на Нову Пошту. Ще він створив CISO-клуб (щоб це не значило) і якусь “платформу”. Любить давати інтерв’ю інфоциганським та ІТ-виданням. Рідна мова – російська, як він сам зазначає у своєму профілі на LinkedIn. Випускник МАУП. Ну таке собі.
Але ж мабуть, він дійсно висококласний експерт, якщо керує кібербезпекою однієї з найбільших та найтехнологічніших компаній України, так же? Вірно ж?
Напевно, багато років працював в індустрії кібербезпеки, має ряд вагомих досягнень, відомий та авторитетний у професійному середовищі?
Хм, тут не все так однозначно.
У трудовій біографії пана керівника кібербезпеки Нової Пошти я з’ясував, що спочатку він працював ….у поліції. Менше року, але менше з тим. Потім трудився на посаді ІТ-адміністратора у ICITAP-Ukraine (тренінговий центр Міжнародної програми допомоги у проведенні кримінальних розслідувань). І вже після цього, у 2017 році одразу став Head of Cyber Security Department у якійсь організації SNS.
А вже за три роки, у 2020 році перейшов на таку ж посаду – керівник кібербезпеки – у Нову Пошту.
Дуже загадкова біографія у зазначеного джентльмена: мент – ніхто у тренінговій фірмі- керівник кібербезу маленької фірми - керівник кібербезу компанії-гіганта.
Плюс молодість: першу вищу освіту здобув у 2015 році, тому йому мабуть трохи за 30 років. Шось тут не сходиться. Шось за цим всім приховано. Може він родич комусь із власників НП? Чи особистий друг Михайла Федорова? Таємний хакер, які краде для начальства секрети конкурентів? Або має інші таємні принади?
Можливо я міркую по-старому (що не дивно з огляду на дати у моєму паспорті), але чомусь мені завжди уявлялося, що якраз у приватному секторі цінуються саме знання і саме досвід.
Окей, досвід приходить з роками, але ж бувають молоді генії, правда?
Я б погодився, якщо мова йшла б, скажімо, про якісь суто технічні штуки типу хакінгу чи програмування – і прикладів доволі багато. Просувати талановиту молодь на посади середньої ланки – часто є доцільним та виправданим з точки зору розвитку бізнесу.
Але топ-керівник великої команди із супер-критичними завданнями – це, крім авторитету – також безодня адміністративної та організаційної роботи. Це багато комунікацій: як всередині команди, так і з топ-менеджментом. Це контроль за операційною діяльністю й налагодження трикутника “люди-процедури-технології”. А ще невловиме вміння знаходити кваліфікованих людей собі у команду.
Й з усіма цими якостями неможливо просто народитися – вони здобуваються з років практично досвіду та народжуються з власноруч набитих шишок.
Але реальність сучасної України вже інша: зараз не важливі досвід та знання. Юні аферисти займають топові державні посади, запускають небезпечні ІТ-проєкти та залишаються непокараними. Навіть обіймають посади міністра оборони.
Технічним керівником найбільшого приватного виробника зброї з мільярдними обертами є мила дівчина, яка до того виробляла бетонні меблі.
Дивлячись на ці тенденції, приватні компанії, схоже, також переймають ці практики: “не важлива кваліфікація, важлива гарна презентація”. Не треба “будувати кар’єру” – достатньо добре освоїти Power Point, а ще краще – ChatGPT.
А потім 16-річний підліток краде майно твоїх користувачів на півмільйона гривень. А ти робиш морду ящиком: “а нічого ж не сталося, злодія ж спіймали”. Принаймні я не знайшов "поштової служби" реакції на цей резонансний інцидент.
Чи виправили вони взагалі цю вразливість додатку? Чи досі він безпечний?
Про всяк випадок, піду швиденько (полегеньку) заберу свою посилку – поки її не вкрав з поштомату якийсь малолітка.
Оскільки зв'язку у поштоматів із інтернетом нема то перепрошувати їх доведеться теж вручну.
Тобто зараз є вікно коли закинути можна будь-який поштомат Нової Пошти.
В щодо голови кіберсісуріті НП то це швидше за все якийсь мазаний мусор чи їх людина через яку можна вирішувати питання.
Ще цікавіше стає, коли дописувач не пояснює, яка саме вразливість мала місце бути в інформаційній кіьер-системі НП (клієнт-сайд, сервер-сайд, відсутність обфускації, слабка валідація на бекенді тощо), а просто констатує: "слабкий захист". Й через цю "технічну глибину" підсилюється відчуття "об'єктивізму" в екстраполяції даного локального інциденту з підлітком-хакером на "тенденцію ******** України".
Втім, якщо без іронії, то допис є корисним в сенсі розуміння ваги якості в роботі служби кібербезпеки топ-компанії. Адже, як то кажуть, "На кожного мудрагеля достатньо простоти".
Хоча, задля об'єктивності слід зауважити, що подібні випадки - не рідкість у відомих компаній. Це класичний "business logic bypass" - поширена категорія вразливостей у багатьох логістичних і fintech-системах по всьому світу з десятками тисяч пристроїв та мільйонами користувачів, таких як DHL, Amazon Lockers тощо.