Krytyczny błąd w witrynie internetowej USPS zagroził danym milionom użytkowników

Ilustracja szyfrowania

Poczta Stanów Zjednoczonych (USPS) naprawiła swoje zepsute API, które ujawniło szczegóły konta 60 milionów użytkowników, którzy zarejestrowali się w usłudze „Informed Delivery”.

Informed Delivery to nowa usługa świadczona przez USPS, dzięki której ludzie mogą przeglądać zeskanowane zdjęcia wszystkich przychodzących wiadomości. Obrazy są wysyłane przed faktycznym dostarczeniem poczty przez firmę. Ludzie mogą śledzić swoje wiadomości e-mail i dowiedzieć się z wyprzedzeniem, czy jakaś ważna poczta ma dotrzeć dzisiaj, czy nie.

Luka w zabezpieczeniach pozwalała każdemu mieć konto w U sps aby wyświetlić szczegóły innych zarejestrowanych użytkowników usługi, a nawet zmienić dane tych użytkowników.

Wada została po raz pierwszy ujawniona przez badacz w zeszłym roku, kiedy udało mu się wyodrębnić dane użytkowników poprzez wysyłanie zapytań do serwera. Badacz wielokrotnie próbował skontaktować się z USPS w celu poinformowania ich o luce w zabezpieczeniach, ale na próżno. Badacz wykazał, że kiedy wysyłałeś symbole wieloznaczne na serwery, akceptował większość z nich, pozwalając innym zobaczyć szczegóły posiadaczy kont.

Specjalista ds. Bezpieczeństwa Brian Krebs powiedział, że każdy zalogowany użytkownik USPS był w stanie wyszukać szczegóły konta innych użytkowników USPS. Szczegóły konta, takie jak numer konta, nazwa użytkownika, adres e-mail, identyfikator użytkownika, numer telefonu, dane kampanii wysyłkowej, adres i inne informacje były łatwo dostępne. Jednak w niektórych polach nie można było wprowadzić zmian w danych, ponieważ z tymi polami był połączony etap walidacji, aby zmienić dane.

Według Krebsa, USPS miał dużą lukę w zabezpieczeniach, ponieważ nie była wymagana żadna prawdziwa wiedza na temat hakowania, aby uzyskać dostęp do danych. Każdy, kto ma podstawową wiedzę na temat przeglądania i modyfikowania elementów za pomocą przeglądarki, będzie mógł uzyskać dostęp do szczegółów konta. USPS oświadczył, że do tej pory nie otrzymał żadnych dowodów sugerujących, że doszło do wykorzystania jakichkolwiek danych kont użytkowników.