Почтовая служба США допустила утечку данных 60 млн пользователей

Почтовая служба США допустила утечку данных 60 млн пользователей

Уязвимость в API позволяла просматривать информацию учетных записей пользователей.

image

Государственная почтовая служба США (U.S. Postal Service, USPS) исправила уязвимость, позволявшую зарегистрированным на официальном сайте оператора пользователям просматривать информацию учетных записей порядка 60 млн других клиентов, а в некоторых случаях и модифицировать данные от их лица.

Проблема связана с механизмом аутентификации в API функции «Informed Visibility», предоставляющей доступ к данным в режиме почти реального времени о почтовых рассылках и пакетах. Как оказалось, помимо данных сведений, любой авторизованный пользователь мог получить доступ к информации аккаунтов других людей, в частности, к электронным адресам, логинам, идентификаторам пользователя, номерам счетов, телефонным номерам, домашним адресам и другим данным. Для просмотра информации не требовалось каких-либо специальных навыков и инструментов.

Примечательно, Почтовая служба была проинформирована об уязвимости еще год назад, однако устранила проблему только после обращения журналиста Брайана Кребса. По словам представителей агентства, на данный момент нет свидетельств эксплуатации уязвимости сторонними лицами.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle

Какие зарубежные новостные сайты по информационной безопасности вы читаете?