Случайно наткнулся на пост в ЖЖ, который судя по всему, висит без реакции уже третью неделю.
По сообщению исследователей некой организации Sokol-Security, используя уязвимости, им удалось добраться до файлов корневого сертификата и его ключа (не сообщается, запаролен он или нет), которым подписываются сертификаты всех отделений Почты РФ.
Основной метод, через который удалось получить доступ — это инъекции SQL. В авторском посте есть примеры внедрения запросов, без текста запросов, которые в результате приводят к утечке данных. Под угрозой утечки помимо ключевой информации, также персональные данные огромного количества граждан, которые получают пенсию в отделениях Почты.
Единственное, что отделяет исследователей от возможности сообщить подробности данной находки ответственным за это людям, по их словам — это твердолобость секретариата, который отсекает все попытки контактов.
Я знаю, что на Почте РФ есть технически компетентные люди в области IT, которые, наверняка, читают Хабр. Может быть тут эту запись увидят?
Автор: dmitrmax