Krypteringsillustrasjon
United States Postal Service (USPS) har fikset sin ødelagte API som hadde avslørt kontodetaljene til 60 millioner brukere som hadde registrert seg for tjenesten “Informed Delivery”.
Informed Delivery er en ny tjeneste som USPS tilbyr der folk kan se skannede bilder av alle innkommende e-poster. Bildene sendes før posten faktisk blir levert av selskapet. Folk kan holde oversikt over postene sine og finne ut på forhånd om noen viktig post skal ankomme i dag eller ikke.
Sikkerhetsfeilen tillot alle som har en konto i U sps for å se detaljene til de andre registrerte brukerne av tjenesten og til og med endre detaljene til disse brukerne.
Feilen ble først avslørt av en forsker i fjor da han kunne trekke ut data fra brukerne ved å sende forespørsler til serveren. Forskeren prøvde å kontakte USPS flere ganger for å fortelle dem om sikkerhetsfeilen, men alt forgjeves. Forskeren viste at når du sendte jokertegn til serverne, godtok det flertallet av dem slik at andre kunne se detaljene til kontoinnehaverne.
Sikkerhetsspesialist Brian Krebs sa at enhver pålogget bruker av USPS var i stand til å søke etter kontodetaljer for andre brukere av USPS. Kontodetaljer som kontonummer, brukernavn, e-postadresse, bruker-ID, telefonnummer, mailing-kampanjedata, adresse og annen informasjon var lett tilgjengelige. Imidlertid kunne ikke endringer i dataene gjøres i noen av feltene, da det var et valideringstrinn knyttet til disse feltene for å endre dataene.
Ifølge Krebs var det en stor sikkerhetsfeil fra USPS, da det ikke var noen reell hackingekspertise som var nødvendig for å få tilgang til dataene. Alle som har grunnleggende kunnskap for å se og endre elementene ved hjelp av en nettleser, vil kunne få tilgang til kontodetaljene. USPS uttalte at de hittil ikke har mottatt bevis som tyder på at det har vært noen utnyttelse av kontodetaljene til brukerne.
Merker Data Sikkerhet
