Ilustracija šifriranja
Američka poštanska služba (USPS) popravila je svoj pokvareni API koji je otkrio detalje o računu 60 milijuna korisnika koji su se prijavili za uslugu 'Informirana dostava'.
Informirana dostava nova je usluga koju pruža USPS putem koje ljudi mogu vidjeti skenirane slike svih svojih dolaznih mailova. Slike se šalju prije nego što tvrtka stvarno pošalje poštu. Ljudi mogu pratiti svoju poštu i unaprijed saznati treba li danas stići bilo koja važna pošta ili ne.
Propust u sigurnosti omogućio je svima koji imaju račun na U sps da biste pregledali detalje ostalih registriranih korisnika usluge, pa čak i promijenili detalje tih korisnika.
Napaku je prvo izložio a istraživač prošle godine kada je mogao izvući podatke korisnika slanjem zahtjeva na poslužitelj. Istraživač je više puta pokušao kontaktirati USPS kako bi im rekao o sigurnosnoj grešci, ali uzalud. Istraživač je pokazao da je, kada ste poslali zamjenske znakove poslužiteljima, prihvatio većinu njih dopuštajući drugima da vide detalje o vlasnicima računa.
Stručnjak za sigurnost Brian Krebs rekao je da je svaki prijavljeni korisnik USPS-a bio u mogućnosti potražiti detalje o računu ostalih korisnika USPS-a. Pojedinosti računa poput broja računa, korisničkog imena, adrese e-pošte, korisničkog ID-a, telefonskog broja, podataka o poštanskoj kampanji, adrese i drugih podataka bili su lako dostupni. Međutim, promjene podataka nisu se mogle izvršiti u nekim poljima jer je za promjenu podataka postojao korak provjere valjanosti povezan s tim poljima.
Prema Krebsu, USPS je imao veliku sigurnosnu manu jer nije bilo prave hakerske stručnosti koja je bila potrebna za pristup podacima. Svatko tko ima osnovno znanje za pregled i izmjenu elemenata pomoću preglednika mogao bi pristupiti detaljima računa. USPS je izjavio da do sada nisu dobili nijedan dokaz koji sugerira da je bilo ikakvih iskorištavanja pojedinosti računa njegovih korisnika.
Oznake Podaci Sigurnost
