Reading Time: 2 minutes
Uma falha no website do US Postal Service expõe dados de 60 milhões de utilizadores.

Uma falha no website do US Postal Service expõe dados de 60 milhões de utilizadores.

O US Postal Service corrigiu uma falha crítica que permitia que qualquer pessoa que tivesse uma conta no website usps.com podia modificar os dados de outros utilizadores.

A notícia foi revelada pela primeira vez pelo popular investigador Brian Krebs, que foi contactado por um investigador que descobriu a falha.
O problema reside na USPS Informed Visibility API, projetada para permitir que empresas, anunciantes e outros remetentes de e-mail em massa “tomem melhores decisões de negócios fornecendo acesso a dados de tracking quase em tempo real” sobre campanhas e pacotes de e-mail.

“In addition to exposing near real-time data about packages and mail being sent by USPS commercial customers, the flaw let any logged-in usps.com user query the system for account details belonging to any other users, such as email address, username, user ID, account number, street address, phone number, authorized users, mailing campaign data and other information.” reads the post on KrebsonSecurity blog.

“Many of the API’s features accepted “wildcard” search parameters, meaning they could be made to return all records for a given data set without the need to search for specific terms.”

 

O investigador descobriu que, utilizando a API para procurar um elemento de dados específico (ou seja, um endereço), era possível recuperar várias contas que partilhavam dados.

“For example, a search on the email addresses for readers who volunteered to help with this research turned up multiple accounts when those users had more than one user signed up at the same physical address.” continues Krebs.

“This is not good,” said one anonymous reader who volunteered to help with this research, after viewing a cut-and-paste of his USPS account details looked up via his email address. “Especially since we moved due to being threatened by a neighbor.”

United-States-Postal-Service

O USPS implementou um novo step de validação para impedir alterações não autorizadas em alguns campos de dados específicos.

Quando um utilizador tenta modificar o endereço de e-mail associado a uma conta específica do USPS por meio da API, é solicitada uma mensagem de confirmação enviada para o endereço de e-mail vinculado a essa conta.

A boa notícia é que parece que a API não expõe as palavras-passe da conta do USPS.

“The API at issue resides here; a copy of the API prior to its modification on Nov. 20 by the USPS is available here as a text file.” continues Krebs.

 

Pedro Tavares is a professional in the field of information security, working as an Ethical Hacker, Malware Analyst, Cybersecurity Analyst and also a Security Evangelist. He is also a founding member and Pentester at CSIRT.UBI and founder of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, hacking, cybersecurity, IoT and security in computer networks.  He is also Freelance Writer.

Read more here.