在与Krebs On Security联系后,美国邮政署(USPS)修复了一个严重的安全问题,该问题使超过6千万用户的电话号码和电子邮件地址暴露给任何拥有帐户的人。
USPS修补的安全问题存在于API身份验证方面的弱点,这也可能使潜在的恶意攻击者也改变其他用户的帐户详细信息。
根据Krebs On Security的说法,“有问题的API与名为”知情可见性“的邮政服务计划有关,根据USPS,该计划旨在让企业,广告商和其他批量邮件发件人通过向他们提供访问权限来”做出更好的商业决策“。近实时跟踪数据“关于邮件活动和包裹。”
尽管匿名研究人员最初告知KrebsOnSecurity有关USPS网络应用程序中发现的漏洞的问题严重,但邮政服务部门表示没有发现任何第三方访问和滥用API错误的证据。
知道该问题的可能的攻击者将能够毫不费力地搜索和列出任何USPS用户的“电子邮件地址,用户名,用户ID,帐号,街道地址,电话号码,授权用户,邮寄活动数据”等等。
API访问控制安全问题暴露在实时用户数据附近
由于安全问题与USPS API相关,潜在的攻击者可以在任何Web浏览器的帮助下使用API端点查询和收集数据。
此外,鉴于该错误还允许登录的USPS用户使用通配符和诸如电子邮件之类的共享元素来查询数据,因此攻击者将能够快速地挖掘由共享搜索元素连接的用户的信息,例如地址和电子邮件。
USPS在致KrebsOnSecurity的一份声明中说:“任何暗示犯罪分子试图利用我们网络中潜在漏洞的信息都是非常严肃的。”
此外,“出于谨慎的考虑,邮政局正在进一步调查,以确保任何可能试图不恰当地访问我们的系统的人在法律的最大范围内被追捕。”
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx
本文永久更新链接地址:https://www.linuxidc.com/Linux/2018-11/155441.htm
