【手机中国新闻】据报道,美国邮政局周三修补了API漏洞。该安全漏洞允许拥有USPS.com帐户的任何人查看其他用户的帐户详细信息,影响了大约6,000万美国邮政局用户。根据Krebs发布的安全报告,这个漏洞是一年多前由一位独立的安全研究人员发现的,该研究人员将此问题告知美国邮政局,但上周在Krebs代表研究人员达成协议之前,他们从未收到任何反馈消息。
美国邮政局
该API是美国邮政局“知情可见性”计划的一部分,该计划旨在帮助批量邮件发件人获得近乎实时的跟踪数据。 问题是,API被编程为允许任何数量的“通配符”搜索参数,使得任何登录系统并且任何了解在Web浏览器控制台中修改参数的人都可以在其他用户上获取大量数据。从用户名和帐号到物理地址和电话号码都可以获取。
国际计算机科学研究所的研究员尼古拉斯·韦弗告诉Krebs说:“这甚至不是信息安全1和0的区别,如1发生了,这是实施访问控制的信息安全的真实问题。看起来他们所拥有的唯一访问控制就是你完全登录了。如果由于他们没有在读取数据时强制执行访问控制,而使客户可以访问其他人的数据,那就是一场灾难。”
加入收藏
