Почтовая служба США раскрыла данные 60 миллионов человек

Почтовая служба США раскрыла данные 60 миллионов человек
Несколько недель назад Почтовая служба США (United States Postal Service, USPS) исправила уязвимость, которая позволяла злоумышленникам в течение года получать персональную информацию примерно по 60 миллионам человек, преимущественно граждан США. Около года назад анонимный исследователь по информационной безопасности сообщил в Почтовую службу о наличии уязвимости, но USPS не смог решить эту проблему. После долгого ожидания этому эксперту по информационной безопасности ничего не оставалось, как сообщить средствам массовой информации о данной проблеме в надежде на то, что внимание общественности вызовет соответствующую реакцию со стороны Почтовой службы США как независимого агентства правительства США. Как только сведения о дыре безопасности стали достоянием общественности, Почтовая служба приступила к устранению данной уязвимости.

Изъян в системе информационной безопасности привел к тому, что стали доступны персональные данные людей, которые были подписаны на сервис Informed Visibility в USPS. Данный сервис позволяет пользователям получать сквозную информацию, чтобы можно было отслеживать доставку почтовой службой писем, бандеролей, посылок и контейнеров. Эксплойт в API позволял любому человеку, обладающему базовыми ИТ-знаниями и именем пользователя и паролем для доступа к сервису получать и экспортировать информацию по другим пользователям. Эта информация содержала такие персональные данные как имена пользователей, номера аккаунтов, почтовые адреса, адреса электронной почты , номера телефонов и другую дополнительную информацию. По состоянию на 7 декабря 2018 г. не было каких-либо доказательств того, что такая персональная информация как пароли к аккаунтам, банковская информация или номера социальных страховок могли быть раскрыты посторонним лицам.

В своем заявлении для СМИ, представитель Почтовой службы по работе со СМИ заявил, что в настоящее время USPS не обладает информацией о том, что данная уязвимость безопасности когда-либо использовалась в преступных целях, но расследование еще пока продолжается. Его цель заключается в том, чтобы в итоге гарантировать, чтоб любой, кто незаконно пытался получить доступ к системам Почтовой службы и осуществил какие-то действия, будет преследоваться по всей строгости закона. На вопрос, почему USPS потратил целый год, чтобы справиться с проблемой, о которой им сообщил неназванный эксперт, представитель USPS заявил, что они в настоящий момент не имеют доказательств того, что тот эксперт по информационной безопасности действительно обращался к ним в 2017 году.

USPS уже был ранее связан с инцидентами: независимое правительственное агентство уже раскрывало почти все персональные данные своих сотрудников в 2014 году. Тот инцидент запомнился тем, что раскрытые данные могли содержать сведения примерно о 500 000 сотрудников и 3 миллионах запросов клиентов. Текущий 2018 год также не идет без сюрпризов: помимо того, что служба постоянно втягивается в борьбу между Президентом США Д.Трампом и Джеффом Безосом из Amazon, в августе Почтовая служба США вынуждена была извиниться перед кандидатом от Демократической партии США бывшим сотрудником ЦРУ Эбигейл Шпанбергер за то, что случайно передала данные по ней в один из независимых комитетов по расходам (Super PAC), поддерживающего кандидатов от Республиканской партии США.

Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
https://www.cloudav.ru
информационная безопасность уязвимость Нарушение данных Эксплойт
Alt text

Panda Security в России и СНГ

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.