Krüptimise illustratsioon
Ameerika Ühendriikide postiteenus (USPS) on parandanud oma katkise API, mis oli paljastanud 60 miljoni kasutaja konto üksikasjad, kes olid registreerunud teenusele „Informeeritud kättetoimetamine“.
Informeeritud kättetoimetamine on uus teenus, mida USPS pakub, mille kaudu inimesed näevad kõigi sissetulevate meilide skannitud pilte. Pildid saadetakse enne, kui ettevõte on posti tegelikult kätte toimetanud. Inimesed saavad jälgida oma e-kirju ja eelnevalt teada saada, kas mõni oluline kiri peaks täna saabuma või mitte.
Turvaviga lubas kõigil, kellel on U-s konto sps vaadata teiste teenuse registreeritud kasutajate üksikasju ja isegi muuta nende kasutajate üksikasju.
Vea paljastas esmakordselt a teadur eelmisel aastal, kui ta suutis serverile päringute saatmisega kasutajate andmeid ammutada. Teadlane üritas mitu korda ühendust võtta USPS-iga, et neile rääkida turvaveast, kuid kõik asjata. Teadlane näitas, et kui saatsite serveritesse metamärke, aktsepteeris see enamikku neist, lubades teistel näha kontoomanike üksikasju.
Turvaspetsialist Brian Krebs ütles, et iga sisse logitud USPS-i kasutaja suutis otsida teiste USPS-i kasutajate konto üksikasju. Konto üksikasjad, nagu konto number, kasutajanimi, e-posti aadress, kasutajatunnus, telefoninumber, postikampaania andmed, aadress ja muu teave, olid hõlpsasti kättesaadavad. Mõnes valdkonnas ei saanud andmeid muuta, kuna andmete muutmiseks oli nende väljadega seotud valideerimisetapp.
Krebsi sõnul oli USPS-il tohutu turvaviga, kuna andmetele juurdepääsu saamiseks ei olnud vaja tegelikku häkkimise asjatundlikkust. Igaüks, kellel on elementaarsed teadmised elementide vaatamiseks ja muutmiseks brauseri abil, pääseb juurde konto üksikasjadele. USPS teatas, et nad pole siiani saanud ühtegi tõendit, mis viitaks sellele, et selle kasutajate konto üksikasju oleks kasutatud.
Sildid Andmed Turvalisus
