Hình minh họa mã hóa
Dịch vụ Bưu điện Hoa Kỳ (USPS) đã sửa lỗi API bị hỏng làm lộ chi tiết tài khoản của 60 triệu người dùng đã đăng ký dịch vụ “Gửi thông báo”.
Thông báo Chuyển phát là một dịch vụ mới mà USPS đang cung cấp, qua đó mọi người có thể xem ảnh quét của tất cả các thư đến của họ. Các hình ảnh được gửi trước khi thư thực sự được chuyển đến bởi công ty. Mọi người có thể theo dõi các thư của họ và tìm hiểu trước xem liệu có thư quan trọng nào đến ngày hôm nay hay không.
Lỗ hổng bảo mật cho phép bất kỳ ai có tài khoản tại U sps để xem chi tiết của những người dùng đã đăng ký khác của dịch vụ và thậm chí thay đổi chi tiết của những người dùng đó.
Lỗ hổng lần đầu tiên được phơi bày bởi một nhà nghiên cứu năm ngoái khi anh ta có thể trích xuất dữ liệu của người dùng bằng cách gửi yêu cầu đến máy chủ. Nhà nghiên cứu đã cố gắng liên hệ với USPS nhiều lần để thông báo cho họ về lỗ hổng bảo mật, nhưng tất cả đều vô ích. Nhà nghiên cứu đã chỉ ra rằng khi bạn gửi các ký tự đại diện đến máy chủ, nó chấp nhận phần lớn chúng cho phép người khác xem thông tin chi tiết của chủ tài khoản.
Chuyên gia bảo mật Brian Krebs cho biết rằng bất kỳ người dùng USPS nào đã đăng nhập đều có thể tìm kiếm chi tiết tài khoản của những người dùng USPS khác. Các chi tiết tài khoản như số tài khoản, tên người dùng, địa chỉ email, ID người dùng, số điện thoại, dữ liệu chiến dịch gửi thư, địa chỉ và các thông tin khác có thể dễ dàng truy cập. Tuy nhiên, không thể thực hiện thay đổi dữ liệu đối với một số trường vì có một bước xác thực được liên kết với các trường đó để thay đổi dữ liệu.
Theo Krebs, có một lỗ hổng bảo mật lớn từ USPS vì không có chuyên môn về hack thực sự cần thiết để truy cập vào dữ liệu. Bất kỳ ai có kiến thức cơ bản để xem và sửa đổi các phần tử bằng trình duyệt đều có thể truy cập chi tiết tài khoản. USPS tuyên bố rằng cho đến nay họ không nhận được bằng chứng nào cho thấy rằng đã có bất kỳ hành vi khai thác bất kỳ chi tiết tài khoản nào của người dùng.
Thẻ Dữ liệu Bảo vệ
