SSL信息美国邮政服务修补的一个关键安全漏洞,面向在USPS.com网站上的帐户,涉及对象超过6,000万客户。
美国专利是美国联邦政府的一个独立机构,负责在美国宪法明确授权的美利坚合众国提供邮政服务。
该漏洞是USPS“知情可见性”程序的应用程序编程接口(API)中的身份验证弱点,旨在帮助企业客户实时跟踪邮件。
网络安全研究员没有透露他的身份,API被编程为接受任意数量的“通配符”搜索参数,使任何人都可以登录到usps.com,向任何其他用户查询系统的帐户详细信息。
换句话说,攻击者可以从多达6,000万USPS客户帐户中提取地址,用户名,用户ID,帐号,街道地址,电话号码,授权用户和邮寄活动。
“在互联网规模的B2B连接和安全性方面,API正在成为一把双刃剑。当不安全时,API打破了他们帮助建立的连接平台,”战略与业务副总裁Setu Kulkarni WhiteHat Security的发展告诉黑客新闻。
“为了避免类似的缺陷,政府机构,而不仅仅是在应用程序安全方面被动反应。处理消费者数据的每个企业都需要是一个安全一致,首要考虑的问题,并且有义务执行最严格的针对易受攻击途径的安全测试:API,网络连接,移动应用程序,网站和数据库。依赖数字平台的组织需要接受教育并使开发人员能够在整个软件生命周期(SLC)中使用安全最佳实践进行编码,并进行适当的安全培训和认证。“
什么更令人担忧?
API身份验证漏洞也允许任何USPS用户请求其他用户更改帐户,例如他们的电子邮件地址,电话号码或其他关键详细信息。
整个事件中最糟糕的部分是USPS处理漏洞披露。
据报道,这位未透露姓名的研究人员向邮政局报告了这个漏洞,“虽然我们不确定是否有人有这种漏洞,但据报道它存在了整整一年,所以我们应该假设最坏的情况,”Comparitech的隐私权倡导者Paul Bischoff告诉The Hacker News。
USPS通过Saying回应:
“我们目前没有关于利用此漏洞利用客户记录的信息。”
“尽管如此,邮政局正在进一步调查,以确保任何可能寻求使用系统的人都是恰当的,并且正是在法律的最大范围内进行的。”