ภาพประกอบการเข้ารหัส
บริการไปรษณีย์ของสหรัฐอเมริกา (USPS) ได้แก้ไข API ที่ใช้งานไม่ได้ซึ่งเปิดเผยรายละเอียดบัญชีของผู้ใช้ 60 ล้านคนที่สมัครใช้บริการ 'การจัดส่งที่แจ้งข้อมูล'
Informed Delivery เป็นบริการใหม่ที่ USPS ให้บริการซึ่งผู้คนสามารถดูภาพสแกนของอีเมลขาเข้าทั้งหมดได้ ภาพจะถูกส่งก่อนที่ บริษัท จะจัดส่งทางไปรษณีย์ ผู้คนสามารถติดตามอีเมลของตนและตรวจสอบได้ล่วงหน้าว่ามีจดหมายสำคัญใด ๆ ที่จะมาถึงในวันนี้หรือไม่
ข้อบกพร่องด้านความปลอดภัยอนุญาตให้ทุกคนมีบัญชีที่ U sps เพื่อดูรายละเอียดของผู้ใช้บริการรายอื่นที่ลงทะเบียนและแม้แต่เปลี่ยนรายละเอียดของผู้ใช้เหล่านั้น
ข้อบกพร่องถูกเปิดเผยครั้งแรกโดย นักวิจัย เมื่อปีที่แล้วเมื่อเขาสามารถดึงข้อมูลของผู้ใช้ได้โดยการส่งคำขอไปยังเซิร์ฟเวอร์ นักวิจัยพยายามติดต่อ USPS หลายครั้งเพื่อบอกพวกเขาเกี่ยวกับข้อบกพร่องด้านความปลอดภัย แต่ทั้งหมดก็ไร้ผล นักวิจัยแสดงให้เห็นว่าเมื่อคุณส่งอักขระตัวแทนไปยังเซิร์ฟเวอร์จะยอมรับว่าส่วนใหญ่อนุญาตให้ผู้อื่นเห็นรายละเอียดของเจ้าของบัญชี
ผู้เชี่ยวชาญด้านความปลอดภัย Brian Krebs กล่าวว่าผู้ใช้ที่เข้าสู่ระบบของ USPS สามารถค้นหารายละเอียดบัญชีของผู้ใช้ USPS รายอื่นได้ รายละเอียดบัญชีเช่นหมายเลขบัญชีชื่อผู้ใช้ที่อยู่อีเมลรหัสผู้ใช้หมายเลขโทรศัพท์ข้อมูลแคมเปญทางไปรษณีย์ที่อยู่และข้อมูลอื่น ๆ สามารถเข้าถึงได้ง่าย อย่างไรก็ตามไม่สามารถทำการเปลี่ยนแปลงข้อมูลในบางฟิลด์ได้เนื่องจากมีขั้นตอนการตรวจสอบที่เชื่อมโยงกับฟิลด์เหล่านั้นเพื่อเปลี่ยนแปลงข้อมูล
จากข้อมูลของ Krebs พบว่ามีข้อบกพร่องด้านความปลอดภัยอย่างมากจาก USPS เนื่องจากไม่มีความเชี่ยวชาญด้านการแฮ็กที่จำเป็นในการเข้าถึงข้อมูล ใครก็ตามที่มีความรู้พื้นฐานในการดูและแก้ไของค์ประกอบโดยใช้เบราว์เซอร์จะสามารถเข้าถึงรายละเอียดบัญชีได้ USPS ระบุว่าจนถึงขณะนี้พวกเขายังไม่ได้รับหลักฐานที่บ่งชี้ว่ามีการใช้ประโยชน์จากรายละเอียดบัญชีใด ๆ ของผู้ใช้
แท็ก ข้อมูล ความปลอดภัย
