美國郵政署網站API漏洞恐使6000萬用戶資料外洩

美國郵政署網站API漏洞恐使6000萬用戶資料外洩 安全研究人員在美國郵政署網站上名為Informed Visibility的網頁服務API中發現漏洞,讓有心人士可以查詢曾登入該站的用戶資料,甚或竄改用戶資料。 文/林妍溱 | 2018-11-23發表 示意圖,與新聞事件無關。 圖片來源: USPS 安全部落格 Krebs On Security 報導,美國郵政署(US Post Service)網站API有漏洞,讓有心人士可以查詢登入過其網站的用戶資料,估計超過6000萬人,甚至還可以竄改用戶資料。郵政署已經在近日修補了這項漏洞。最初一名研究人員發現這個漏洞並通知郵政署,卻未接獲回音。他於是告知了由澳洲安全專家Brian Krebs主持的Krebs On Security 部落格,後者再度聯繫郵政署,終於迫使事主著手解決。這項漏洞是出現在郵政署的一項名為Informed Visibility的網頁服務API上。這個服務是提供給企業、廣告商及其他大宗郵件客戶,使他們可以存取廣告郵件和包裹接近即時的追蹤資料。首先,包括郵政署的許多API功能都接受萬用字元(wildcard)搜尋參數,不需輸入特定詞彙即可回傳某類資料的所有紀錄。例如只要多個帳號有共同的資料元素,例如街道地址,則利用API搜尋單一類資料往往能帶出多筆紀錄。例如搜尋某群資料的用戶電子郵件,即可以找出其他用戶的帳號,因為這些人都以同一街道來註冊帳號。這種方法不需要任何駭客工具,只要知道怎麼檢視和修改Chrome或Firefox等瀏覽器處理的資料元素。第二個問題在於,郵政署的API不僅讓客戶存取資料,還讓其他登入usps.com的人都能查詢其他用戶的資訊,像是電子郵件、用戶名稱、用戶ID、帳號號碼、街道名稱、電話、授權用戶、以及郵件寄送相關的資料等。這就可能引發垃圾和詐騙郵件的威脅。Krebs分析後還發現,該API還能讓任何用戶呼叫變更其他用戶的電郵、電話及其他帳號資訊。所幸郵政署有設定變更帳號必須經過身分驗證,因此降低了非法竄改的可能性。郵政署在接獲研究人員通報後已修補漏洞,並發佈聲明指出目前所知尚沒有人利用該漏洞取得客戶紀錄。 iThome Security

更多訊息更多資料都在這裡喔!~神經滋養物質~蜂王漿~台灣綠蜂膠~芙婷寶~健康食品~南極冰洋磷蝦油~GOOGLE排名~超視王~蜂王乳~智勝王~保健食品~SEO~PPLS~磷蝦油~關鍵字排名~網站排名~維力康~葉黃素

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *