По информации источников СМИ, «Почта России» планирует запустить трёхлетнюю программу Bug Bounty (выплату вознаграждений исследователям по ИБ за найденные в IT-системах и приложениях уязвимости). Госкомпания сделает это в рамках публикации тендера на тестирование своих IT-систем, чтобы избежать ситуаций с возможными утечками данных клиентов.
Представитель организации подтвердил СМИ, что в рамках усиления направления кибербезопасности «Почта России» действительно планирует запустить трёхлетнюю программу Bug Bounty и в ближайшее время объявит тендер на предоставление соответствующей платформы. «Мы предполагаем, что будет один поставщик платформы, на которую мы сможем привлечь уже всех участников ИБ-рынка», — рассказал СМИ заместитель гендиректора компании по IT и развитию цифровых сервисов «Почты России» Дмитрий Ильин.
Участники рынка кибербезопасности считают, что речь идёт в первую очередь о сайте компании и мобильном приложении.
Результаты тестирования на уязвимости станут «критерием для уточнения защищённости и выработки дополнительных мер», объяснил Ильин. Объем финансирования, заложенный на вознаграждение «белым хакерам», он не уточнил.
По словам Ильина, совет директоров «Почты России» утвердил план обеспечения кибербезопасности на ближайшие годы. «В рамках его реализации мы хотим совместно с основными участниками рынка провести трансформацию систем и процессов, отвечающих за ИБ в компании», — отметил Ильин.
В июле 2022 года «Почта России» подтвердила факт утечки части внутренней базы данных отправлений клиентов. В компании утверждают, что разобрались с этим инцидентом. «Одна из учетных записей нашего подрядчика была скомпрометирована в результате хакерской атаки, фрагмент данных действительно попал в руки взломщиков», — пояснили в компании. Там также рассказали, что «утечка не содержала банковских данных, безопасности и репутации клиентов ничего не угрожает, а служба безопасности заблокировала доступ через скомпрометированный аккаунт и перепроверила уровень безопасности по всем возможным точкам доступа».
Эксперты сервиса поиска утечек и мониторинга даркнета DLBI сообщили, что в опубликованном образце содержится 10 млн строк, включая:
номер отслеживания (трек-номер отправления);
ФИО (или название компании) отправителя и получателя;
телефон получателя;
полный адрес отправителя и получателя;
вес, статус отправления;
другая техническая информация, включая флаги доставки;
данные о дате и времени отправления.
Роскомнадзор запросил у «Почты России» детали этого инцидента по утечке данных клиентов.
