Критичен недостатък в уебсайта на USPS Рисковани данни на милиони потребители

Илюстрация за криптиране

Пощенската служба на САЩ (USPS) поправи своя неработещ API, който разкри подробностите за акаунта на 60 милиона потребители, които са се регистрирали за услугата „Информирана доставка“.

Информирана доставка е нова услуга, която USPS предоставя, чрез която хората могат да видят сканирани снимки на всички входящи имейли. Изображенията се изпращат, преди пощата да бъде действително доставена от компанията. Хората могат да следят имейлите си и предварително да разберат дали някоя важна поща трябва да пристигне днес или не.

Недостатъкът на сигурността позволява на всеки, който има акаунт в U sps за да видите подробностите за другите регистрирани потребители на услугата и дори да промените данните за тези потребители.

Недостатъкът беше открит за първи път от изследовател миналата година, когато той успя да извлече данни на потребителите чрез изпращане на заявки до сървъра. Изследователят се опита няколко пъти да се свърже с USPS, за да им каже за недостатъка в сигурността, но напразно. Изследователят показа, че когато изпращате заместващи символи до сървърите, той приема по-голямата част от тях, позволявайки на другите да видят подробностите за притежателите на акаунти.

Специалист по сигурността Брайън Кребс заяви, че всеки влязъл в системата потребител на USPS е успял да търси подробности за акаунта на други потребители на USPS. Данните за акаунта, като номер на акаунт, потребителско име, имейл адрес, потребителски идентификатор, телефонен номер, данни за пощенска кампания, адрес и друга информация, бяха лесно достъпни. Въпреки това, промени в данните не могат да бъдат направени в някои от полетата, тъй като има стъпка за проверка, свързана с тези полета, за да се променят данните.

Според Кребс е имало огромен недостатък в сигурността от страна на USPS, тъй като не е имало истински опит за хакерство, необходим за достъп до данните. Всеки, който има основни познания за преглед и промяна на елементите с помощта на браузър, ще има достъп до данните за акаунта. USPS заяви, че досега не са получили доказателства, които да предполагат, че е имало някаква експлоатация на каквито и да е данни за акаунтите на потребителите му.