Krypteringsillustration
United States Postal Service (USPS) har rettet sin ødelagte API, der havde afsløret kontooplysningerne for 60 millioner brugere, der havde tilmeldt sig tjenesten 'Informed Delivery'.
Informed Delivery er en ny tjeneste, som USPS leverer, hvorigennem folk kan se scannede billeder af alle deres indgående mails. Billederne sendes, inden posten faktisk leveres af virksomheden. Folk kan holde styr på deres mails og på forhånd finde ud af, om vigtig post skal ankomme i dag eller ej.
Sikkerhedsfejlen tillod alle, der havde en konto i U sps for at se detaljerne om de andre registrerede brugere af tjenesten og endda ændre detaljerne for disse brugere.
Fejlen blev først afsløret af en forsker sidste år, da han kunne udtrække data fra brugerne ved at sende anmodninger til serveren. Forskeren forsøgte at kontakte USPS flere gange for at fortælle dem om sikkerhedsfejlen, men alt forgæves. Forskeren viste, at når du sendte jokertegn til serverne, accepterede det flertallet af dem, så andre kunne se detaljerne om kontoindehaverne.
Sikkerhedsspecialist Brian Krebs sagde, at enhver logget bruger af USPS var i stand til at søge efter kontooplysninger om andre brugere af USPS. Kontooplysninger såsom kontonummer, brugernavn, e-mail-adresse, bruger-id, telefonnummer, mailingkampagnedata, adresse og andre oplysninger var let tilgængelige. Dog kunne ændringer i dataene ikke foretages i nogle af felterne, da der var et valideringstrin knyttet til disse felter for at ændre dataene.
Ifølge Krebs var der en enorm sikkerhedsfejl fra USPS, da der ikke var nogen reel hackingekspertise, der var nødvendig for at få adgang til dataene. Enhver, der har den grundlæggende viden til at se og ændre elementerne ved hjælp af en browser, kunne få adgang til kontooplysningerne. USPS erklærede, at de indtil nu ikke har modtaget noget bevis, der tyder på, at der har været nogen udnyttelse af nogen kontooplysninger om sine brugere.
Mærker Data Sikkerhed
