Критическая ошибка на веб-сайте USPS подвергает риску данные миллионов пользователей

Иллюстрация шифрования

Почтовая служба США (USPS) исправила свой неработающий API, который раскрыл данные учетных записей 60 миллионов пользователей, которые подписались на услугу «Информированная доставка».

Информированная доставка - это новая услуга, предоставляемая USPS, с помощью которой люди могут видеть отсканированные изображения всех своих входящих писем. Изображения отправляются до фактической доставки почты компанией. Люди могут отслеживать свою почту и заранее узнавать, должна ли прибыть важная почта сегодня или нет.

Брешь в системе безопасности позволяла любому, кто имеет учетную запись в U sps для просмотра сведений о других зарегистрированных пользователях службы и даже для изменения сведений об этих пользователях.

Недостаток был впервые обнаружен Исследователь в прошлом году, когда он смог извлекать данные пользователей, отправляя запросы на сервер. Исследователь несколько раз пытался связаться с USPS, чтобы сообщить им о недостатке безопасности, но все тщетно. Исследователь показал, что когда вы отправляете подстановочные знаки на серверы, он принимает большинство из них, позволяя другим видеть данные владельцев учетных записей.

Специалист по безопасности Брайан Кребс сказал, что любой вошедший в систему пользователь USPS может искать данные учетных записей других пользователей USPS. Детали учетной записи, такие как номер учетной записи, имя пользователя, адрес электронной почты, идентификатор пользователя, номер телефона, данные рассылки, адрес и другая информация, были легко доступны. Однако в некоторые поля нельзя было внести изменения, так как с этими полями был связан этап проверки для изменения данных.

По словам Кребса, у USPS была огромная брешь в безопасности, поскольку для получения доступа к данным не требовалось реальных хакерских навыков. Любой, у кого есть базовые знания для просмотра и изменения элементов с помощью браузера, сможет получить доступ к данным учетной записи. USPS заявила, что до сих пор они не получили никаких доказательств того, что имело место какое-либо использование каких-либо данных учетных записей его пользователей.