USPS corrige vulnerabilidade que expôs dados de 60 milhões de usuários

O Serviço Postal dos EUA demorou um ano inteiro para corrigir uma vulnerabilidade de segurança no site usps.com que revelou dados de todos os 60 milhões de usuários. Qualquer pessoa pode ver as informações da conta pessoal desses usuários, incluindo detalhes como nomes de usuário e endereços. Um pesquisador independente teria identificado essa vulnerabilidade de segurança há mais de um ano.

O USPS aparentemente aproveitou seu tempo para consertar essa vulnerabilidade, pois Krebs on Security relata que o USPS só aplicou o patch no início desta semana. Isso significa que a vulnerabilidade deixou os dados do usuário de 60 milhões de pessoas completamente expostos por um ano inteiro.

A vulnerabilidade permitiu que qualquer pessoa acessasse um banco de dados USPS oferecido a empresas e anunciantes que desejam rastrear pacotes de usuários e dados. Essa vulnerabilidade na interface de programação de aplicativos ou na API deve determinar se uma conta tinha permissões para acessar esses dados, mas esses controles não foram implementados.

Dados pessoais, como números de telefone, e-mails, campanhas de mala direta dados, e mais foram expostos a qualquer usuário logado em usps.com. Os usuários também podem solicitar alterações na conta de outro usuário. Os endereços são pesquisáveis ​​através do banco de dados para que qualquer usuário conectado possa obtê-los e, portanto, nenhuma ferramenta de hacking foi necessária para explorar esta vulnerabilidade.

“ Qualquer informação que sugira que criminosos tentaram explorar vulnerabilidades em nossa rede é levado muito a sério. Fora de uma abundância de cautela, o Serviço Postal está investigando para garantir que qualquer pessoa que tenha tentado acessar nossos sistemas de forma inadequada seja perseguida em toda a extensão da lei, " disse o USPS em um comunicado.