Šifrēšanas ilustrācija
Amerikas Savienoto Valstu pasta dienests (USPS) ir salabojis bojāto API, kas atklāja 60 miljonu lietotāju konta datus, kuri bija reģistrējušies pakalpojumam “Informēta piegāde”.
Informēta piegāde ir jauns pakalpojums, ko USPS nodrošina, caur kuru cilvēki var redzēt visu ienākošo pastu skenētus attēlus. Attēli tiek nosūtīti, pirms uzņēmums faktiski piegādā pastu. Cilvēki var izsekot savām vēstulēm un iepriekš uzzināt, vai šodien ir pienākt kāds svarīgs pasts vai nē.
Drošības kļūda ļāva ikvienam, kam bija konts U sps lai apskatītu citu reģistrēto pakalpojuma lietotāju datus un pat mainītu šo lietotāju datus.
Pirmo reizi trūkumu atklāja a pētnieks pagājušajā gadā, kad viņš varēja iegūt lietotāju datus, nosūtot pieprasījumus serverim. Pētnieks mēģināja vairākas reizes sazināties ar USPS, lai pastāstītu viņiem par drošības trūkumu, taču tas viss bija veltīgi. Pētnieks parādīja, ka, nosūtot aizstājējzīmes uz serveriem, tā akceptēja to lielāko daļu, ļaujot citiem redzēt konta turētāju datus.
Drošības speciālists Braiens Krebs teica, ka jebkurš USPS reģistrētais lietotājs varēja meklēt citu USPS lietotāju konta datus. Konta informācija, piemēram, konta numurs, lietotājvārds, e-pasta adrese, lietotāja ID, tālruņa numurs, pasta kampaņas dati, adrese un cita informācija, bija viegli pieejama. Tomēr dažos laukos datu izmaiņas nevarēja veikt, jo datu mainīšanai bija saistīts ar šiem laukiem apstiprināšanas solis.
Pēc Krebsa teiktā, USPS bija milzīgs drošības trūkums, jo nebija reālas uzlaušanas pieredzes, kas būtu nepieciešama, lai piekļūtu datiem. Ikviens, kam ir pamatzināšanas, lai apskatītu un modificētu elementus, izmantojot pārlūkprogrammu, varētu piekļūt konta detaļām. USPS paziņoja, ka līdz šim viņi nav saņēmuši nekādus pierādījumus, kas liecinātu, ka tā lietotāju jebkāda konta informācija būtu izmantota.
Tagi Dati Drošība
