У грудні 2025 року родина Марії — дружини колишнього військовослужбовця — продала вживаний товар через платформу OLX. Покупець наполіг на відправленні Новою поштою з накладеним платежем, пояснивши, що такий варіант для нього вигідніший, ніж OLX-доставка.
Домовленість не виглядала підозрілою. Посилку оцінили у 36 000 гривень, накладений платіж становив 35 000 гривень. Кур’єр забрав відправлення з дому, і воно було доставлене до відділення №19 у Києві.
Покупець заздалегідь попередив, що особисто не зможе забрати посилку у відділенні, оскільки вона громіздка, тому планує викликати кур’єра. Саме тому подальший дзвінок від людини, яка представилася кур’єром, не викликав підозри.
Через кілька годин відпранику зателефонував чоловік, який представився кур’єром. Він повідомив, що для оформлення кур’єрської доставки необхідно підтвердити операцію, оскільки посилка має високу задекларовану вартість, і попросив назвати чотири цифри з SMS-повідомлення, яке надійшло на телефон.
Код було названо.
Як працює схема і чому вона стала можливою
У цій історії не йдеться про злам у класичному розумінні — з підбором паролів або втручанням у сервери. Доступ до особистого кабінету був отриманий через логічну уразливість у процесі реєстрації та авторизації користувача.
Суть проблеми полягає в тому, що система «Нової пошти» дозволяє розпочати процедуру реєстрації на номер телефону, який уже прив’язаний до чинного облікового запису, не повідомляючи про існування цього акаунту. Користувач не бачить повідомлення про те, що обліковий запис уже створений, і не отримує пропозиції відновити доступ.
У такій ситуації система надсилає SMS із чотиризначним кодом. При цьому повідомлення не містить попередження, що введення цього коду використовується для реєстрації нового акаунту або зміни пароля в вже існуючому та фактично відкриває доступ до особистого кабінету, а не підтверджує окрему логістичну дію чи доставку.
Це створює критичний момент: людина, яка отримує дзвінок від особи, що представляється кур’єром або співробітником Нової пошти, не має підстав вважати цей код небезпечним, адже:
- немає попередження про вхід до кабінету або створення нового;
- мова не йде про зміну пароля.
Після введення такого коду стороння особа отримує повний доступ до облікового запису, включно з можливістю перегляду та редагування активних відправлень. У межах цього доступу стає можливим:
- змінювати параметри відправлення;
- скасовувати додаткові послуги, зокрема післяплату;
- редагувати дані відправника і отримувача та ін.
У випадку родини Марії ці дії були здійснені без будь-яких додаткових перевірок або повторних підтверджень через електронну пошту. Внаслідок цього в системі з’явився інший відправник, а сама посилка фактично зникла з її кабінету та була перенесена в кабінет шахрая.
Важливо підкреслити: ані «Нова пошта», ані правоохоронні органи у своїх відповідях не визнали наявність технічного бага чи критичної уразливості. Саме тому цей механізм і далі залишається непоміченим на офіційному рівні, попри те що його наслідки можуть мати серйозні фінансові втрати для клієнтів — особливо для підприємців та власників інтернет-магазинів, які користуються бізнес-акаунтами.
Нижче в статті розміщене відео, в якому Марія демонструє, як виглядає цей процес на практиці, — без втручання в систему, виключно як ілюстрацію описаної логіки.
Після звернення родини Марії до служби підтримки «Нової пошти» компанія надала офіційну письмову відповідь. У відповіді компанія підтверджує, що зміни до експрес-накладної справді були внесені, і детально перелічує, які саме дії відбулися в системі.
Зокрема зазначено:
«02 грудня 2025 року по експрес-накладній №59001513408368 відправником замовлено внесення змін, а саме — відміна додаткової послуги “Післяплата”. Також відправником внесено зміни в ПІБ відправника, а саме змінено з … на — Бродяной С. Є., та номер телефону відправника з … на +380 99…….98»
У документі наголошується, що зміна даних може бути виконана лише замовником послуги або особою, яка отримала доступ до особистого кабінету внаслідок свідомого або несвідомого надання такого доступу самим замовником.
Таким чином, позиція компанії чітка: з погляду внутрішніх процедур «Нової пошти», всі дії були здійснені користувачем, якого система ідентифікувала як відправника. Водночас у відповіді не йдеться про наявність технічної уразливості або помилки в роботі сервісу. Разом із цим «Нова пошта» рекомендувала звернутися до правоохоронних органів у разі підозри на шахрайські дії та висловила готовність співпрацювати зі слідством.
При цьому ключове питання — чому система дозволяє отримати повний доступ до кабінету без явного попередження про зміну пароля — у відповіді залишилося без окремого аналізу.
Після отримання відповіді від «Нової пошти» родина Марії звернулася до Національної поліції України, передавши отримані від компанії дані про відправника та особу, яка отримала посилку.
Попри фінансові втрати у значному розмірі, наявність конкретної експрес-накладної, змінених даних відправника та встановлений факт отримання посилки іншою особою, поліція не розпочала досудове розслідування.
У «Нової пошти» були наявні фотографія цієї особи, ПІБ, номер телефону та паспортні дані, отримані під час видачі посилки. Втім, навіть за таких обставин матеріали не були внесені до Єдиного реєстру досудових розслідувань.
Чому це небезпечно для кожного клієнта «Нової пошти»
Судячи з коментарів на сторінці Марії в Instagram, ця історія не є поодиноким випадком і не зводиться до помилки конкретної людини. Йдеться про ситуацію, у якій доступ до особистого кабінету може бути втрачений без явного усвідомлення цього клієнтом, а всі подальші дії в системі формально вважаються «законними».
Особливий ризик така ситуація становить для власників інтернет-магазинів та e-commerce-проєктів, які регулярно користуються бізнес-кабінетами «Нової пошти». Фактично один неправильно інтерпретований SMS-код може означати повний контроль над логістикою бізнесу, без негайного сповіщення власника акаунту про зміну доступу.
Саме це робить ситуацію небезпечною не лише для окремих клієнтів, а для кожного, хто користується сервісом і довіряє стандартній логіці взаємодії з системою.
Скріншоти коментарів нижче наведені як підтвердження того, що подібні ситуації не є поодинокими.
Як можна було б захистити клієнтів
Ситуації, що сталася, можна було б уникнути. Існує кілька базових рішень, які могли б суттєво знизити ризик подібних випадків — без складних технічних змін і без перекладання відповідальності виключно на клієнта.
По-перше, під час спроби реєстрації за номером телефону, який уже прив’язаний до існуючого акаунту, система мала б чітко повідомляти, що обліковий запис уже створений, і пропонувати відновлення доступу через зміну пароля, а не реєстрацію нового кабінету, після чого стороння особа фактично отримує доступ до вже існуючого акаунту.
По-друге, в SMS з кодом для зміни пароля має бути чітко зазначено: «Хтось намагається змінити пароль до вашого облікового запису. Якщо це не ви, нікому не повідомляйте ці чотири цифри». Натомість повідомлення «Ваш код ХХХХ. Не повідомляйте його нікому» не дає користувачеві достатнього розуміння ризиків.
По-третє, критичні зміни — скасування післяплати, зміна відправника або отримувача, зміна пароля — мають вимагати додаткового підтвердження від власника акаунту про те, що ці параметри будуть змінені.
Наразі ж введення чотиризначного коду фактично надає повний доступ до облікового запису без додаткових перевірок.
Читачі в коментарях Марії розділилися. Одні вважають, що відповідальність лежить на відправнику, який повідомив шахраю код. Інші підтримують та описують схожі випадки втрати посилок і коштів. У цій історії немає простої відповіді. Але вона змушує замислитися, де проходить межа між відповідальністю клієнта та відповідальністю сервісу, який обробляє мільйони відправлень.