手机版
你好,游客 登录 注册
背景:
阅读新闻

美国邮政署(USPS)公开超过6000万用户的电子邮件地址和电话号码

[日期:2018-11-22] 来源:Linux公社  作者:醉落红尘 [字体: ]

在与Krebs On Security联系后,美国邮政署(USPS)修复了一个严重的安全问题,该问题使超过6千万用户的电话号码和电子邮件地址暴露给任何拥有帐户的人。

USPS修补的安全问题存在于API身份验证方面的弱点,这也可能使潜在的恶意攻击者也改变其他用户的帐户详细信息。

根据Krebs On Security的说法,“有问题的API与名为”知情可见性“的邮政服务计划有关,根据USPS,该计划旨在让企业,广告商和其他批量邮件发件人通过向他们提供访问权限来”做出更好的商业决策“。近实时跟踪数据“关于邮件活动和包裹。”

尽管匿名研究人员最初告知KrebsOnSecurity有关USPS网络应用程序中发现的漏洞的问题严重,但邮政服务部门表示没有发现任何第三方访问和滥用API错误的证据。

知道该问题的可能的攻击者将能够毫不费力地搜索和列出任何USPS用户的“电子邮件地址,用户名,用户ID,帐号,街道地址,电话号码,授权用户,邮寄活动数据”等等。

API访问控制安全问题暴露在实时用户数据附近

由于安全问题与USPS API相关,潜在的攻击者可以在任何Web浏览器的帮助下使用API​​端点查询和收集数据。

此外,鉴于该错误还允许登录的USPS用户使用通配符和诸如电子邮件之类的共享元素来查询数据,因此攻击者将能够快速地挖掘由共享搜索元素连接的用户的信息,例如地址和电子邮件。

USPS在致KrebsOnSecurity的一份声明中说:“任何暗示犯罪分子试图利用我们网络中潜在漏洞的信息都是非常严肃的。”

此外,“出于谨慎的考虑,邮政局正在进一步调查,以确保任何可能试图不恰当地访问我们的系统的人在法律的最大范围内被追捕。”

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2018-11/155441.htm

linux
相关资讯       美国邮政署帐户泄露  USPS 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款