Una API defectuosa del Servicio Postal de EE. UU. Expuso a más de 60 millones de usuarios al permitir que un investigador extraiga millones de filas de datos enviando solicitudes de comodines al servidor. El agujero de seguridad resultante ha sido reparado después de repetidas solicitudes al USPS.
El servicio de USPS, llamado Entrega Informada, le permite ver su correo antes de que llegue a su hogar y ofrece una API para permitir a los usuarios conectar su correo a servicios especializados como CRM. Perfilamos el servicio en 2017.
El investigador anónimo demostró que el servicio aceptaba comodines para muchas búsquedas, lo que permitía a cualquier usuario ver a otros usuarios en el sitio. Brian Krebs tiene una copia del El código de API en su sitio.
El USPS le dijo a Krebs que había investigado la exposición de datos y que:
Las redes informáticas están constantemente bajo el ataque de delincuentes que intentan aprovechar las vulnerabilidades para obtener información ilegalmente. Al igual que otras empresas, el programa de Seguridad de la Información del Servicio Postal y el Servicio de Inspección utilizan las mejores prácticas de la industria para monitorear constantemente nuestra red en busca de actividad sospechosa.
Cualquier información que sugiera que los delincuentes han intentado explotar posibles vulnerabilidades en nuestra red se toma muy en serio. Por precaución, el Servicio Postal está investigando más a fondo para garantizar que cualquier persona que haya intentado acceder a nuestros sistemas de manera inapropiada sea perseguida con todo el rigor de la ley.
Krebs también informó que los ladrones de identidad están haciendo un mal uso del servicio para ver qué correo llega a los hogares de los usuarios en qué días, lo que les permite tomar documentos y cheques importantes a voluntad. La vulnerabilidad de la API ha sido parcheada, pero no se sabe qué otras características mal manejadas surgirán en esta poderosa herramienta.
Source link