16-річний школяр зламав додаток «Нової Пошти» та викрав посилок на 500 тисяч
«Ефективні менеджери» «Нової Пошти»: як підліток розкрив ціну їхньої роботи.
16-річний школяр із Кривого Рогу знайшов вразливість у додатку поштової служби доставки і вкрав посилок на суму 500 тисяч гривень.
Про це офіційно повідомляє поліція Дніпропетровської області: неповнолітній хакер «детально вивчив алгоритм офіційного додатку служби доставки та створив програму, що дозволяла обійти стандартний процес оплати. У результаті посилки у додатку відображалися як оплачені та видавалися з поштоматів без фактичної оплати».
І все це юний ІТ-злочинець зробив, «маючи базові знання програмування».
А це означає, що у додатку був настільки слабкий захист, що його зміг обійти школяр із базовими знаннями.
Перше питання, яке в мене виникло: а чим займалася кібербезпека цієї поштової служби в цей час? Чому не проводили тестування додатку на подібні вразливості?
З’ясувалося, що, наприклад, керівник кібербезпеки НП любить виступати на пафосних конференціях та розповідати про мільйони «відбитих» атак на Нову Пошту. Ще він створив CISO-клуб (що б це не означало) і якусь «платформу». Любить давати інтерв’ю інфоциганським та ІТ-виданням. Рідна мова — російська, як він сам зазначає у своєму профілі на LinkedIn. Випускник МАУП. Ну таке собі.
Але ж, мабуть, він дійсно висококласний експерт, якщо керує кібербезпекою однієї з найбільших і найтехнологічніших компаній України, так?
Напевно, багато років працював в індустрії кібербезпеки, має низку вагомих досягнень, відомий та авторитетний у професійному середовищі?
Хм, тут не все так однозначно.
У трудовій біографії пана, керівника кібербезпеки Нової Пошти, я з’ясував, що спочатку він працював у поліції. Менше року, але менше з тим. Потім працював на посаді ІТ-адміністратора в ICITAP-Ukraine (тренінговий центр Міжнародної програми допомоги у проведенні кримінальних розслідувань). І вже після цього, у 2017 році, одразу став Head of Cyber Security Department у якійсь організації SNS.
А вже за три роки, у 2020-му, перейшов на таку ж посаду — керівника кібербезпеки — у Нову Пошту.
Дуже загадкова біографія у зазначеного джентльмена: поліція — ніхто у тренінговій фірмі — керівник кібербезпеки маленької фірми — керівник кібербезпеки компанії-гіганта.
Плюс молодість: першу вищу освіту здобув у 2015 році, тож йому, мабуть, трохи за 30 років. Щось тут не сходиться. Щось за цим усім приховано. Може, він родич когось із власників НП? Чи особистий друг Михайла Федорова? Таємний хакер, який краде для начальства секрети конкурентів? Або має інші «таємні принади»?
Можливо, я міркую по-старому (що не дивно, з огляду на дати в моєму паспорті), але чомусь мені завжди уявлялося, що саме у приватному секторі цінуються знання і досвід.
Окей, досвід приходить із роками, але ж бувають молоді генії, правда?
Я б погодився, якби мова йшла, скажімо, про якісь суто технічні речі — хакінг чи програмування — і прикладів цьому доволі багато. Просувати талановиту молодь на посади середньої ланки часто є доцільним і виправданим із точки зору розвитку бізнесу.
Але топкерівник великої команди із супер критичними завданнями — це, крім авторитету, ще й безодня адміністративної та організаційної роботи. Це багато комунікацій: як усередині команди, так і з топменеджментом. Це контроль за операційною діяльністю й налагодження трикутника «люди — процедури — технології». А ще — невловиме вміння знаходити кваліфікованих людей у свою команду.
І з усіма цими якостями неможливо просто народитися — вони здобуваються роками практичного досвіду та народжуються з власноруч набитих шишок.
Але реальність сучасної України вже інша: зараз не важливі досвід і знання. Юні аферисти займають топові державні посади, запускають небезпечні ІТ-проєкти та залишаються непокараними. Навіть обіймають посади міністра оборони.
Технічним керівником найбільшого приватного виробника зброї з мільярдними обертами є мила дівчина, яка до цього виробляла бетонні меблі.
Дивлячись на ці тенденції, приватні компанії, схоже, також переймають ці практики: «не важлива кваліфікація — важлива гарна презентація». Не треба «будувати кар’єру» — достатньо добре освоїти PowerPoint, а ще краще — ChatGPT.
А потім 16-річний підліток краде майно твоїх користувачів на пів мільйона гривень. А ти робиш вигляд, що «нічого не сталося, злодія ж спіймали». Принаймні я не знайшов реакції «поштової служби» на цей резонансний інцидент.
Чи виправили вони взагалі цю вразливість додатку? Чи досі він безпечний?
Про всяк випадок піду швиденько (потихеньку) заберу свою посилку — поки її не вкрав із поштомату якийсь малолітка.
«Редакція «Останнього Бастіону» може не поділяти позицію авторів. Відповідальність за матеріали в розділі «Опінії» несуть самі автори.»
