Uma falha no website do US Postal Service expõe dados de 60 milhões de utilizadores.
O US Postal Service corrigiu uma falha crítica que permitia que qualquer pessoa que tivesse uma conta no website usps.com podia modificar os dados de outros utilizadores.
“In addition to exposing near real-time data about packages and mail being sent by USPS commercial customers, the flaw let any logged-in usps.com user query the system for account details belonging to any other users, such as email address, username, user ID, account number, street address, phone number, authorized users, mailing campaign data and other information.” reads the post on KrebsonSecurity blog.
“Many of the API’s features accepted “wildcard” search parameters, meaning they could be made to return all records for a given data set without the need to search for specific terms.”
O investigador descobriu que, utilizando a API para procurar um elemento de dados específico (ou seja, um endereço), era possível recuperar várias contas que partilhavam dados.
“For example, a search on the email addresses for readers who volunteered to help with this research turned up multiple accounts when those users had more than one user signed up at the same physical address.” continues Krebs.
“This is not good,” said one anonymous reader who volunteered to help with this research, after viewing a cut-and-paste of his USPS account details looked up via his email address. “Especially since we moved due to being threatened by a neighbor.”
O USPS implementou um novo step de validação para impedir alterações não autorizadas em alguns campos de dados específicos.
Quando um utilizador tenta modificar o endereço de e-mail associado a uma conta específica do USPS por meio da API, é solicitada uma mensagem de confirmação enviada para o endereço de e-mail vinculado a essa conta.
A boa notícia é que parece que a API não expõe as palavras-passe da conta do USPS.
“The API at issue resides here; a copy of the API prior to its modification on Nov. 20 by the USPS is available here as a text file.” continues Krebs.
One Reply to “Uma falha no website do US Postal Service expõe dados de 60 milhões de utilizadores”