美国邮政局API漏洞,可查看任意6000万用户数据
本周三,美国邮政服务公司(USPS)发布补丁修复了一个安全漏洞。该任何允许任何拥有usps.com帐户的人,查看其它用户的详细信息,在某些情况下甚至可修改用户的帐户信息,约6000万用户受到影响。
一位要求匿名的研究人员向KrebsOnSecurity表示,在一年多前他就发现了这个问题并向USPS通报,但从未收到过回应。KrebsOnSecurity在确认他的调查结果后,联系了美国邮政总局,后者立即解决了这个问题。
受影响的API是“Informed Visibility”的邮政服务计划的一部分,根据USPS,该计划通过为企业、广告商和其他批量邮件发件人提供关于邮件活动与包裹的近实时跟踪数据,使用户能做出更好的商业决策。
然而问题在于,该漏洞利用了USPS Web组件(称为“应用程序接口”)或API的身份验证弱点。任何登录了系统并且对在Web浏览器控制台中修改参数有基本了解的人,在该API的“帮助下”,都可利用任何数量的“通配符”搜索参数获取其他用户的大量数据,例如电子邮件地址,用户名,用户ID,帐号,街道地址,电话号码,授权用户,邮寄活动数据和其他信息。
图:宣传 Informed Visibility的特征与优势
USPS在给Krebs的一份声明中说:“任何暗示犯罪分子试图利用我们网络中潜在漏洞的信息都是非常严肃的。出于谨慎的考虑,USPS正在进一步调查,以确保任何可能试图非法访问我们系统的人,都会受到法律最大范围内的追查。”
随后美国邮政局发布了一份声明,称目前为止他们并未发现该漏洞为人利用以获取用户信息。邮政局在获得此漏洞消息后将竭力修复漏洞减轻其影响。
参考来源:
krebsonsecurity
theverge
- End -
往期热门资讯:
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com