Почтовая служба США допустила утечку данных 60 млн пользователей
Государственная почтовая служба США (U.S. Postal Service, USPS) исправила уязвимость, позволявшую зарегистрированным на официальном сайте оператора пользователям просматривать информацию учетных записей порядка 60 млн других клиентов, а в некоторых случаях и модифицировать данные от их лица.
Проблема связана с механизмом аутентификации в API функции «Informed Visibility», предоставляющей доступ к данным в режиме почти реального времени о почтовых рассылках и пакетах. Как оказалось, помимо данных сведений, любой авторизованный пользователь мог получить доступ к информации аккаунтов других людей, в частности, к электронным адресам, логинам, идентификаторам пользователя, номерам счетов, телефонным номерам, домашним адресам и другим данным. Для просмотра информации не требовалось каких-либо специальных навыков и инструментов.
Примечательно, Почтовая служба была проинформирована об уязвимости еще год назад, однако устранила проблему только после обращения журналиста Брайана Кребса. По словам представителей агентства, на данный момент нет свидетельств эксплуатации уязвимости сторонними лицами.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
