O Serviço Postal dos Estados Unidos corrigiu uma vulnerabilidade de segurança crítica que expôs os dados de mais de 60 milhões de clientes a qualquer pessoa que tenha uma conta no site USPS.com.
O USPS é uma agência independente do governo federal americano responsável por fornecer serviços postais nos Estados Unidos e é uma das poucas agências governamentais explicitamente autorizada pela Constituição dos Estados Unidos.
A vulnerabilidade está ligada a uma falha de autenticação em uma interface de programação de aplicativos (API) para o programa "Visibilidade informada" do USPS, projetado para ajudar clientes corporativos a rastrear mensagens em tempo real.
De acordo com o pesquisador de cibersegurança, que não divulgou sua identidade, a API foi programada para aceitar qualquer número de parâmetros de pesquisa "curinga", permitindo que qualquer pessoa conectada ao usps.com consulte o sistema por detalhes da conta pertencentes a qualquer outro usuário.
Em outras palavras, o invasor poderia ter obtido endereços de email, nomes de usuário, IDs de usuário, números de contas, endereços, números de telefone, usuários autorizados e dados de campanhas de correio de até 60 milhões de contas de clientes do USPS.
"As APIs estão se tornando uma faca de dois gumes quando se trata de conectividade e segurança B2B em escala de Internet. As APIs, quando inseguras, quebram a própria premissa da conectividade superior que ajudaram a estabelecer", Setu Kulkarni, vice-presidente de estratégia e negócios. O desenvolvimento da WhiteHat Security disse ao The Hacker News.
"Para evitar falhas semelhantes, agências governamentais e empresas devem ser pró-ativas, não apenas reativas, no que diz respeito à segurança das aplicações. Todas as empresas que lidam com dados do consumidor precisam fazer da segurança uma preocupação consistente com a obrigação de executar as mais rigorosas Testes de segurança contra vulnerabilidades vulneráveis: APIs, conexões de rede, aplicativos móveis, sites e bancos de dados As organizações que dependem de plataformas digitais precisam educar e capacitar os desenvolvedores a codificar usando as melhores práticas de segurança durante todo o ciclo de vida do software (SLC). e certificações ".
O que é mais preocupante?
A vulnerabilidade de autenticação da API também permitiu que qualquer usuário do USPS solicitasse alterações na conta de outros usuários, como seus endereços de e-mail, números de telefone ou outros detalhes importantes.
A pior parte de todo o incidente foi o manuseio do USPS na divulgação responsável de vulnerabilidades.
O pesquisador não identificado descobriu e reportou responsavelmente esta vulnerabilidade no ano passado ao Serviço Postal, que a ignorou e deixou os dados de seus usuários expostos até a semana passada, quando um jornalista contatou o USPS em nome do pesquisador.
E então, o Portal Service abordou a questão em apenas 48 horas, disse o jornalista Brian Krebs .
"Embora não tenhamos certeza se alguém realmente tirou proveito da vulnerabilidade, ela teria existido por um ano inteiro, então devemos assumir o pior", disse Paul Bischoff, defensor de privacidade da Comparitech ao The Hacker News.
"Atualmente, não temos informações de que essa vulnerabilidade foi aproveitada para explorar registros de clientes."
"Com muita cautela, o Serviço Postal está investigando para garantir que qualquer um que tenha tentado acessar nossos sistemas de forma inadequada seja perseguido em toda a extensão da lei."
O USPS é uma agência independente do governo federal americano responsável por fornecer serviços postais nos Estados Unidos e é uma das poucas agências governamentais explicitamente autorizada pela Constituição dos Estados Unidos.
A vulnerabilidade está ligada a uma falha de autenticação em uma interface de programação de aplicativos (API) para o programa "Visibilidade informada" do USPS, projetado para ajudar clientes corporativos a rastrear mensagens em tempo real.
60 milhões de dados de usuários USPS expostos
De acordo com o pesquisador de cibersegurança, que não divulgou sua identidade, a API foi programada para aceitar qualquer número de parâmetros de pesquisa "curinga", permitindo que qualquer pessoa conectada ao usps.com consulte o sistema por detalhes da conta pertencentes a qualquer outro usuário.
Em outras palavras, o invasor poderia ter obtido endereços de email, nomes de usuário, IDs de usuário, números de contas, endereços, números de telefone, usuários autorizados e dados de campanhas de correio de até 60 milhões de contas de clientes do USPS.
"As APIs estão se tornando uma faca de dois gumes quando se trata de conectividade e segurança B2B em escala de Internet. As APIs, quando inseguras, quebram a própria premissa da conectividade superior que ajudaram a estabelecer", Setu Kulkarni, vice-presidente de estratégia e negócios. O desenvolvimento da WhiteHat Security disse ao The Hacker News.
"Para evitar falhas semelhantes, agências governamentais e empresas devem ser pró-ativas, não apenas reativas, no que diz respeito à segurança das aplicações. Todas as empresas que lidam com dados do consumidor precisam fazer da segurança uma preocupação consistente com a obrigação de executar as mais rigorosas Testes de segurança contra vulnerabilidades vulneráveis: APIs, conexões de rede, aplicativos móveis, sites e bancos de dados As organizações que dependem de plataformas digitais precisam educar e capacitar os desenvolvedores a codificar usando as melhores práticas de segurança durante todo o ciclo de vida do software (SLC). e certificações ".
USPS ignorou a divulgação responsável por mais de um ano
O que é mais preocupante?
A vulnerabilidade de autenticação da API também permitiu que qualquer usuário do USPS solicitasse alterações na conta de outros usuários, como seus endereços de e-mail, números de telefone ou outros detalhes importantes.
A pior parte de todo o incidente foi o manuseio do USPS na divulgação responsável de vulnerabilidades.
O pesquisador não identificado descobriu e reportou responsavelmente esta vulnerabilidade no ano passado ao Serviço Postal, que a ignorou e deixou os dados de seus usuários expostos até a semana passada, quando um jornalista contatou o USPS em nome do pesquisador.
E então, o Portal Service abordou a questão em apenas 48 horas, disse o jornalista Brian Krebs .
"Embora não tenhamos certeza se alguém realmente tirou proveito da vulnerabilidade, ela teria existido por um ano inteiro, então devemos assumir o pior", disse Paul Bischoff, defensor de privacidade da Comparitech ao The Hacker News.
USPS responde dizendo:
"Atualmente, não temos informações de que essa vulnerabilidade foi aproveitada para explorar registros de clientes."
"Com muita cautela, o Serviço Postal está investigando para garantir que qualquer um que tenha tentado acessar nossos sistemas de forma inadequada seja perseguido em toda a extensão da lei."
FONTE:THEHACKERNEWS
Comentários
Postar um comentário