Şifreleme İllüstrasyon
Amerika Birleşik Devletleri Posta Servisi (USPS), 'Bilgilendirilmiş Teslimat' hizmetine kaydolan 60 milyon kullanıcının hesap ayrıntılarını ifşa eden bozuk API'sini düzeltti.
Bilgilendirilmiş Teslimat, USPS'nin sunduğu ve insanların gelen tüm postalarının taranmış resimlerini görebildiği yeni bir hizmettir. Resimler, posta şirket tarafından gerçekten teslim edilmeden önce gönderilir. İnsanlar postalarını takip edebilir ve önemli bir postanın bugün gelip gelmeyeceğini önceden öğrenebilirler.
Güvenlik açığı, U'da hesabı olan herkesin izin verdi sps hizmetin diğer kayıtlı kullanıcılarının ayrıntılarını görüntülemek ve hatta bu kullanıcıların ayrıntılarını değiştirmek için.
Kusur ilk olarak bir araştırmacı Geçen yıl sunucuya istek göndererek kullanıcıların verilerini alabildi. Araştırmacı, güvenlik açığından bahsetmek için USPS ile defalarca iletişime geçmeye çalıştı, ancak hepsi boşuna. Araştırmacı, sunuculara joker karakterler gönderdiğinizde, çoğunun başkalarının hesap sahiplerinin ayrıntılarını görmesine izin verdiğini kabul ettiğini gösterdi.
Güvenlik uzmanı Brian Krebs USPS'nin oturum açmış herhangi bir kullanıcısının diğer USPS kullanıcılarının hesap ayrıntılarını arayabildiğini söyledi. Hesap numarası, kullanıcı adı, e-posta adresi, kullanıcı kimliği, telefon numarası, posta kampanyası verileri, adres ve diğer bilgiler gibi hesap ayrıntılarına kolayca erişilebilir. Ancak, verileri değiştirmek için bu alanlara bağlı bir doğrulama adımı olduğundan bazı alanlara verilerde değişiklik yapılamadı.
Krebs'e göre, verilere erişmek için gereken gerçek bir bilgisayar korsanlığı uzmanlığı olmadığından USPS'den büyük bir güvenlik açığı vardı. Bir tarayıcı kullanarak öğeleri görüntülemek ve değiştirmek için temel bilgiye sahip olan herkes, hesap ayrıntılarına erişebilir. USPS, şu ana kadar kullanıcılarının herhangi bir hesap detayının istismar edildiğini gösteren hiçbir kanıt almadıklarını belirtti.
Etiketler Veri Güvenlik
