Критични пропуст на веб локацији УСПС-а о ризичним подацима милиона корисника

Сигурност / Критични пропуст на веб локацији УСПС-а о ризичним подацима милиона корисника 1 минут читања Тории

Илустрација шифровања

Америчка поштанска служба (УСПС) поправила је свој покварени АПИ који је открио детаље о рачуну 60 милиона корисника који су се пријавили за услугу „Информисана достава“.

Информисана достава је нова услуга коју УСПС пружа путем које људи могу да виде скениране слике свих својих долазних маилова. Слике се шаљу пре него што компанија заиста пошаље пошту. Људи могу водити евиденцију о својој пошти и претходно сазнати да ли нека важна пошта треба стићи данас или не.



Безбедносна мана је дозвољавала свима који имају рачун у У. спс да бисте прегледали детаље осталих регистрованих корисника услуге и чак променили детаље тих корисника.



Ману је први открио а истраживач прошле године када је могао да извуче податке корисника слањем захтева на сервер. Истраживач је више пута покушао да контактира УСПС како би им рекао о сигурносној пропусти, али све узалуд. Истраживач је показао да је, када сте на сервере послали џокер знаке, прихватио већину њих, омогућавајући другима да виде детаље о власницима рачуна.



Специјалиста за безбедност Бриан Кребс је рекао да је сваки пријављени корисник УСПС-а био у могућности да тражи детаље о налогу других корисника УСПС-а. Појединости о рачуну, као што су број рачуна, корисничко име, адреса е-поште, ИД корисника, број телефона, подаци о поштанској кампањи, адреса и друге информације, биле су лако доступне. Међутим, није могуће извршити промене података у неким пољима, јер је постојао корак валидације повезан са тим пољима ради промене података.

Према Кребсу, УСПС је имао велику безбедносну ману јер није постојала права стручност за хаковање која је била потребна за приступ подацима. Свако ко има основно знање за преглед и модификовање елемената помоћу прегледача могао би да приступи детаљима налога. УСПС је изјавио да до сада нису добили ниједан доказ који сугерише да је било експлоатације било каквих детаља о налогу његових корисника.

Ознаке Подаци Сигурност