聚焦源代码安全,网罗国内外最新资讯!
编译:360代码卫士团队
美国邮政服务修复了一个严重的安全漏洞,只要在 USPS.com 上注册了账户,那么任何人均可访问超过6000万名客户的信息。
U.S.P.S. 是美国联邦政府的一个独立机构,负责在美国境内提供邮政服务,也是经美国宪法公开授权的少数几个政府机构之一。
这个漏洞和 USPS “通知可见 (Informed Visibility)”项目 API 的一个认证弱点相关。该项目旨在帮助企业客户实时追踪邮件动向。
6000万名 USPS 用户的数据遭暴露
不愿透露身份的安全研究人员表示,这个 API 被设置为接受任意数量的“wildcard”搜索参数,能让任何已登录 usps.com 的用户在系统中查询其他用户的账户详情。
换句话说,攻击者能够从6000万名 USPS 客户账户中提取邮件地址、用户名、用户 ID、账号、街道地址、电话号码、授权用户和邮寄活动数据等。
WhiteHatSecurity 公司的战略和业务发展副总裁 Setu Kulkarni 表示,“从互联网规模 B2B 连接和安全来说,API 是一把双刃剑。不安全的 API 能破解它所帮助设置的超级 (uber) 连接的根基。”
他还表示,“要避免类似缺陷的发生,政府机构和企业必须在应用安全方面采取主动方式而非只是做出反应。处理消费者数据的所有企业都需要让安全成为一个连续的优先考虑因素,他们有义务针对易受攻击的渠道开展安全测试:API、网络连接、移动应用、网站和数据库。依靠数据化平台的组织机构需要教育并为开发人员赋能,使他们在整个软件生命周期内使用最佳安全实践进行编码,而且要开展妥善的安全培训和认证活动。”
USPS 早在一年多以前就获悉问题
更令人担心的是,这个 API 认证漏洞还可导致任意 USPS 用户请求获取对其他用户的账户更改,如其他用户的邮件地址、电话号码或其它关键详情。
整个事件中最糟糕的部分在于,USPS 对负责任的漏洞披露报告的处理态度。
据称这名不愿透露姓名的研究人员早在去年就已经负责任地将问题告知邮政服务,但后者选择忽略,直到上周代表这名研究人员的记者 Brian Krebs 再次联系后, USPS 才做出响应。之后问题在48小时内解决。Comparitech 公司的隐私倡导人 Paul Bischoff 表示,“虽然我们不确定是否有人真的利用了这个漏洞,但确实是在一年前就提交而来问题,因此我们应该做好最坏的准备。”
USPS 回应
USPS 回应称,“目前,我们并未收到关于该漏洞被用于利用客户记录的信息。出于万分慎重的考虑,邮政服务正在开展进一步调查,确保可能不当访问我们系统的任何人受到法律的严惩。”
推荐阅读
原文链接
https://thehackernews.com/2018/11/usps-data-breach.html