Kritischer Fehler in der USPS-Website Gefährdete Daten von Millionen von Benutzern

Verschlüsselungsillustration

Der United States Postal Service (USPS) hat seine defekte API behoben, durch die die Kontodaten von 60 Millionen Benutzern offengelegt wurden, die sich für den Dienst 'Informed Delivery' angemeldet hatten.

Informierte Zustellung ist ein neuer Dienst, den USPS bereitstellt, über den Benutzer gescannte Bilder aller eingehenden E-Mails sehen können. Die Bilder werden gesendet, bevor die Post tatsächlich von der Firma zugestellt wird. Die Leute können ihre Mails verfolgen und im Voraus herausfinden, ob wichtige Mails heute eintreffen oder nicht.

Die Sicherheitslücke erlaubte jedem, ein Konto bei U zu haben sps um die Details der anderen registrierten Benutzer des Dienstes anzuzeigen und sogar die Details dieser Benutzer zu ändern.

Der Fehler wurde zuerst von a aufgedeckt Forscher letztes Jahr, als er in der Lage war, Daten der Benutzer durch Senden von Anfragen an den Server zu extrahieren. Der Forscher versuchte mehrmals, USPS zu kontaktieren, um sie über die Sicherheitslücke zu informieren, aber alles umsonst. Der Forscher hat gezeigt, dass beim Senden von Platzhaltern an die Server die meisten von ihnen akzeptiert wurden, sodass andere die Details der Kontoinhaber sehen konnten.

Sicherheitsspezialist Brian Krebs sagte, dass jeder angemeldete Benutzer von USPS in der Lage war, nach Kontodetails anderer Benutzer von USPS zu suchen. Kontodetails wie Kontonummer, Benutzername, E-Mail-Adresse, Benutzer-ID, Telefonnummer, Mailing-Kampagnendaten, Adresse und andere Informationen waren leicht zugänglich. Änderungen an den Daten konnten jedoch nicht an einigen Feldern vorgenommen werden, da mit diesen Feldern ein Validierungsschritt verknüpft war, um die Daten zu ändern.

Laut Krebs gab es eine große Sicherheitslücke von USPS, da keine echte Hacking-Expertise erforderlich war, um Zugriff auf die Daten zu erhalten. Jeder, der über die Grundkenntnisse verfügt, um die Elemente mithilfe eines Browsers anzuzeigen und zu ändern, kann auf die Kontodetails zugreifen. USPS gab an, bis jetzt keine Beweise erhalten zu haben, die darauf hindeuten, dass Kontodaten seiner Benutzer ausgenutzt wurden.