Después de ser contactado por Krebs On Security, el Servicio Postal de EEUU (USPS) solucionó un problema de seguridad crítico que dejó a los números de teléfono y las direcciones de correo electrónico de más de 60 millones de usuarios expuestos a cualquier persona con una cuenta.
El problema de seguridad remendado por el USPS que residía en una debilidad de autenticación de API también permitiría que los actores maliciosos potenciales también alteren los detalles de la cuenta de otros usuarios.
Según KrebsOnSecurity, "La API en cuestión estaba vinculada a una iniciativa del Servicio Postal llamada" Visibilidad Informada ", que según USPS está diseñada para permitir que las empresas, los anunciantes y otros remitentes de correo masivo" tomen mejores decisiones comerciales al proporcionarles acceso a datos de seguimiento casi en tiempo real "sobre campañas de correo y paquetes".
A pesar de la gravedad del problema encontrado por el investigador anónimo que inicialmente informó a KrebsOnSecurity acerca de la vulnerabilidad encontrada en la aplicación web de USPS, el Servicio Postal dijo que no se encontraron pruebas de terceros que accedieran y abusaran del error de API
Los posibles atacantes con conocimiento del problema podrían haber buscado y enumerar sin esfuerzo la dirección de correo electrónico, el nombre de usuario, la identificación del usuario, el número de cuenta, la dirección, el número de teléfono, los usuarios autorizados, los datos de la campaña de correo postal de cualquier usuario de USPS y mucho más.
El problema de seguridad del control de acceso a la API expuesto casi en tiempo real a los datos del usuario.
Debido a que el problema de seguridad estaba vinculado a la API de USPS, los posibles atacantes podrían haber consultado y recopilado datos utilizando los puntos finales de la API con la ayuda de cualquier navegador web.
Además, dado que el error también permitió a los usuarios registrados de USPS consultar datos utilizando comodines y elementos compartidos como correos electrónicos, los adversarios podrían desenterrar rápidamente la información de los usuarios conectados mediante un elemento de búsqueda compartido, tales como direcciones y correos electrónicos.
"Cualquier información que sugiera que los delincuentes han intentado explotar vulnerabilidades potenciales en nuestra red se toma muy en serio", dijo el USPS en una declaración enviada a KrebsOnSecurity.
Además, "Debido a una gran cantidad de precauciones, el Servicio Postal está investigando para garantizar que cualquier persona que haya intentado acceder a nuestros sistemas de manera inadecuada sea perseguida en toda la extensión de la ley".
Fecha actualización el 2021-11-22. Fecha publicación el 2018-11-22. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: softpedia