Kritinis USPS svetainės trūkumas rizikavo milijonų vartotojų duomenis

Šifravimo iliustracija

Jungtinių Valstijų pašto tarnyba (USPS) sutvarkė sugedusią API, kuri atskleidė 60 milijonų vartotojų, užsiregistravusių paslauga „Informuotas pristatymas“, sąskaitos duomenis.

Informuotas pristatymas yra nauja paslauga, kurią teikia USPS, per kurią žmonės gali matyti nuskaitytas visų gaunamų laiškų nuotraukas. Vaizdai siunčiami, kol įmonė faktiškai nepristato pašto. Žmonės gali sekti savo laiškus ir iš anksto sužinoti, ar šiandien reikia gauti svarbių laiškų, ar ne.

Saugos trūkumas leido visiems, turintiems sąskaitą „U“ sps peržiūrėti kitų registruotų paslaugos vartotojų duomenis ir net pakeisti tų vartotojų duomenis.

Pirmiausia trūkumą atskleidė a tyrinėtojas pernai, kai jis sugebėjo išgauti vartotojų duomenis, siųsdamas užklausas į serverį. Tyrėjas kelis kartus bandė susisiekti su USPS, norėdamas papasakoti apie saugumo trūkumą, tačiau viskas veltui. Tyrėjas parodė, kad kai siuntėte pakaitos simbolius į serverius, dauguma jų priėmė leidimą kitiems matyti sąskaitos turėtojų duomenis.

Saugumo specialistas Brianas Krebsas sakė, kad bet kuris prisijungęs USPS vartotojas galėjo ieškoti kitų USPS vartotojų sąskaitos duomenų. Sąskaitos duomenys, tokie kaip sąskaitos numeris, vartotojo vardas, el. Pašto adresas, vartotojo ID, telefono numeris, pašto kampanijos duomenys, adresas ir kita informacija, buvo lengvai prieinami. Tačiau kai kuriuose laukuose duomenų pakeisti nepavyko, nes norint pakeisti duomenis buvo patvirtinimo žingsnis, susietas su tais laukais.

Pasak Krebso, USPS turėjo didžiulį saugumo trūkumą, nes nebuvo jokios realios įsilaužimo patirties, kurios reikėjo norint gauti prieigą prie duomenų. Kiekvienas, turintis pagrindinių žinių, norėdamas peržiūrėti ir modifikuoti elementus naudodamas naršyklę, galės pasiekti išsamią paskyros informaciją. USPS pareiškė, kad iki šiol jie negavo jokių įrodymų, leidžiančių manyti, kad buvo išnaudota bet kokia jo vartotojų paskyros informacija.