Миколаївський фахівець з кібербезпеки Юрій Решетнік виявив небезпечну уразливість у одному з державних онлайн-сервісів, що призводила до витоку персональних даних користувачів. CERT-UA підтвердила, що проблему повністю усунено.
Йдеться про порушення контролю доступу типу IDOR (Insecure Direct Object Reference): зміна параметрів в URL давала змогу переглядати чужі замовлення з повним набором чутливої інформації — ПІБ, номери телефонів, адреси, дані банківських карток та суми оплат.
Решетнік задокументував прояв, зашифрував матеріали й передав їх власнику сервісу та в CERT-UA через офіційний канал відповідального розкриття. Після аналізу інциденту уразливість було закрито.
За словами фахівця, це черговий приклад того, що уважність до дрібних аномалій інколи дає більше, ніж великі системи моніторингу, а одна своєчасна реакція може запобігти інциденту на рівні країни.
