Falha crítica nos dados de risco de milhões de usuários do site do USPS

Ilustração de criptografia

O Serviço Postal dos Estados Unidos (USPS) consertou sua API quebrada que expôs os detalhes da conta de 60 milhões de usuários que se inscreveram no serviço “Entrega Informada”.

A entrega informada é um novo serviço que o USPS está oferecendo, por meio do qual as pessoas podem ver imagens digitalizadas de todos os seus e-mails recebidos. As imagens são enviadas antes que o correio seja efetivamente entregue pela empresa. As pessoas podem controlar seus e-mails e saber de antemão se algum e-mail importante deve chegar hoje ou não.

A falha de segurança permitia que qualquer pessoa com uma conta em U sps para ver os detalhes de outros usuários registrados do serviço e até mesmo alterar os detalhes desses usuários.

A falha foi exposta pela primeira vez por um investigador no ano passado, quando conseguiu extrair dados dos usuários enviando solicitações ao servidor. O pesquisador tentou entrar em contato com o USPS várias vezes para avisar sobre a falha de segurança, mas tudo em vão. O pesquisador mostrou que quando você envia curingas para os servidores, ele aceita a maioria deles permitindo que outras pessoas vejam os detalhes dos correntistas.

Especialista em segurança Brian Krebs disse que qualquer usuário logado do USPS foi capaz de pesquisar detalhes de contas de outros usuários do USPS. Detalhes da conta, como número da conta, nome de usuário, endereço de e-mail, ID do usuário, número de telefone, dados da campanha de mala direta, endereço e outras informações eram facilmente acessíveis. No entanto, não foi possível fazer alterações nos dados em alguns dos campos, pois havia uma etapa de validação vinculada a esses campos para alterar os dados.

De acordo com Krebs, houve uma enorme falha de segurança do USPS, pois não havia nenhum conhecimento de hacking real necessário para obter acesso aos dados. Qualquer pessoa com conhecimento básico para visualizar e modificar os elementos usando um navegador pode acessar os detalhes da conta. O USPS afirmou que não recebeu até agora nenhuma evidência que sugira que tenha havido qualquer exploração de detalhes de contas de seus usuários.