Salauskuva
Yhdysvaltain postipalvelu (USPS) on korjannut rikkoutuneen sovellusliittymän, joka oli paljastanut 60 miljoonan käyttäjän tiedot, jotka olivat liittyneet palveluun ”Informed Delivery”.
Informed Delivery on uusi palvelu, jonka USPS tarjoaa, jonka kautta ihmiset näkevät skannatut kuvat kaikista saapuvista viesteistä. Kuvat lähetetään ennen yrityksen tosiasiallista toimittamista. Ihmiset voivat seurata sähköpostejaan ja saada etukäteen selville, onko tärkeitä postia tarkoitus saapua tänään vai ei.
Tietoturva-aukon ansiosta kaikki, joilla on tili U: ssa sps tarkastella muiden palvelun rekisteröityneiden käyttäjien tietoja ja jopa muuttaa näiden käyttäjien tietoja.
Virheen paljasti ensin a tutkija viime vuonna, kun hän pystyi poimimaan käyttäjien tietoja lähettämällä pyyntöjä palvelimelle. Tutkija yritti ottaa yhteyttä USPS: ään useita kertoja kertoa heille turvallisuusvirheestä, mutta kaikki turhaan. Tutkija osoitti, että kun lähetit jokerimerkkejä palvelimille, se hyväksyi suurimman osan niistä antamalla muiden nähdä tilinhaltijoiden tiedot.
Turvallisuusasiantuntija Brian Krebs sanoi, että kuka tahansa kirjautunut USPS-käyttäjä pystyi etsimään muiden USPS-käyttäjien tilitietoja. Tilitiedot, kuten tilin numero, käyttäjänimi, sähköpostiosoite, käyttäjätunnus, puhelinnumero, postikampanjan tiedot, osoite ja muut tiedot olivat helposti saatavilla. Joihinkin kenttiin ei kuitenkaan voitu tehdä muutoksia tietoihin, koska näihin kenttiin oli linkitetty validointivaihe tietojen muuttamiseksi.
Krebsin mukaan USPS: llä oli valtava tietoturva-aukko, koska tietojen saamiseen ei tarvinnut todellista hakkerointiosaamista. Kuka tahansa, jolla on perustiedot elementtien tarkastelemiseen ja muokkaamiseen selaimen avulla, voi käyttää tilin tietoja. USPS ilmoitti, että he eivät ole toistaiseksi saaneet mitään todisteita siitä, että sen käyttäjien tilitietoja olisi käytetty hyväksi.
Tunnisteet Tiedot Turvallisuus
