Az USPS webhelyének kritikus hibája a felhasználók millióinak kockázatát jelentette

Titkosítás illusztráció

Az Egyesült Államok postai szolgálata (USPS) kijavította a megszakadt API-ját, amely 60 millió felhasználó fiókadatait tárta fel, akik feliratkoztak az „Informált kézbesítés” szolgáltatásra.

Az Informed Delivery egy új szolgáltatás, amelyet az USPS nyújt, amelyen keresztül az emberek láthatják az összes bejövő levelük beolvasott képét. A képeket még azelőtt elküldik, hogy a cég ténylegesen kézbesíti a levelet. Az emberek nyomon követhetik e-mailjeiket, és előzetesen megtudhatják, hogy fontos levelek érkeznek-e ma vagy sem.

A biztonsági hiba lehetővé tette, hogy bárki rendelkezzen számlával az U-nál sps megtekintheti a szolgáltatás többi regisztrált felhasználójának adatait, és még módosíthatja is a felhasználók adatait.

A hibát először a kutató tavaly, amikor képes volt kinyerni a felhasználók adatait azzal, hogy kéréseket küldött a szervernek. A kutató többször megpróbált kapcsolatba lépni az USPS-szel, hogy elmondja nekik a biztonsági hibát, de mind hiába. A kutató kimutatta, hogy amikor helyettesítő karaktereket küldött a szervereknek, elfogadta azok többségét, amely lehetővé tette, hogy mások is lássák a számlatulajdonosok adatait.

Biztonsági szakember Brian Krebs azt mondta, hogy az USPS bármely bejelentkezett felhasználója kikeresheti az USPS többi felhasználójának fiókadatait. A fiók adatai, például a számlaszám, a felhasználónév, az e-mail cím, a felhasználói azonosító, a telefonszám, a postakampány adatai, a cím és egyéb információk könnyen hozzáférhetők voltak. Az adatok megváltoztatását azonban nem lehetett végrehajtani egyes mezőkben, mivel az adatok megváltoztatásához egy érvényesítési lépés kapcsolódott ezekhez a mezőkhöz.

Krebs szerint óriási biztonsági hiba volt az USPS részéről, mivel nem volt szükség az adatokhoz való hozzáféréshez valódi hackelési szakértelemre. Bárki, aki rendelkezik az alapismeretekkel az elemek megtekintéséhez és módosításához egy böngésző segítségével, hozzáférhet a fiók adataihoz. Az USPS kijelentette, hogy mindeddig nem kaptak olyan bizonyítékokat, amelyek arra engednék következtetni, hogy a felhasználók bármilyen fiókadatát kihasználták volna.