Ilustracija šifriranja
Poštna služba ZDA (USPS) je popravila svoj pokvarjeni API, ki je razkril podrobnosti o računu 60 milijonov uporabnikov, ki so se prijavili za storitev 'Informed Delivery'.
Informirana dostava je nova storitev, ki jo zagotavlja USPS in s katero si lahko uporabniki ogledajo optično prebrane slike vseh svojih dohodnih sporočil. Slike so poslane, preden podjetje dejansko dostavi pošto. Ljudje lahko spremljajo svojo pošto in vnaprej ugotovijo, ali naj bi kakšna pomembna pošta prispela danes ali ne.
Varnostna napaka je dovoljevala vsem, ki so imeli račun pri U sps za ogled podrobnosti drugih registriranih uporabnikov storitve in celo spreminjanje podrobnosti teh uporabnikov.
Napako je prvič izpostavil a raziskovalec lani, ko je lahko pridobival podatke uporabnikov s pošiljanjem zahtev na strežnik. Raziskovalec je večkrat poskušal vzpostaviti stik z USPS, da bi jim povedal o varnostni napaki, a vse zaman. Raziskovalec je pokazal, da je, ko ste strežnikom poslali nadomestne znake, sprejel večino, tako da je drugim omogočil vpogled v podatke o imetnikih računov.
Strokovnjak za varnost Brian Krebs je dejal, da je kateri koli prijavljeni uporabnik USPS lahko poiskal podatke o računu drugih uporabnikov USPS. Podrobnosti računa, kot so številka računa, uporabniško ime, e-poštni naslov, ID uporabnika, telefonska številka, podatki o poštni kampanji, naslov in druge informacije, so bile lahko dostopne. Vendar nekaterih podatkov ni bilo mogoče spremeniti v nekaterih poljih, saj je bil za spremembo podatkov povezan korak preverjanja.
Po Krebsovih besedah je USPS imel veliko varnostno napako, saj ni bilo pravega hekerskega strokovnega znanja, ki bi bilo potrebno za dostop do podatkov. Kdor ima osnovno znanje za ogled in spreminjanje elementov s pomočjo brskalnika, bi lahko dostopal do podrobnosti računa. USPS je izjavil, da do zdaj niso prejeli nobenega dokaza, ki bi nakazoval, da je bilo uporabnikov kakršnih koli podatkov o računu uporabnikov.
Oznake Podatki Varnost
