Уязвимость в API позволяла просматривать информацию учетных записей пользователей.
Государственная почтовая служба США (U.S. Postal Service, USPS) исправила уязвимость, позволявшую зарегистрированным на официальном сайте оператора пользователям просматривать информацию учетных записей порядка 60 млн других клиентов, а в некоторых случаях и модифицировать данные от их лица.
Проблема связана с механизмом аутентификации в API функции «Informed Visibility», предоставляющей доступ к данным в режиме почти реального времени о почтовых рассылках и пакетах. Как оказалось, помимо данных сведений, любой авторизованный пользователь мог получить доступ к информации аккаунтов других людей, в частности, к электронным адресам, логинам, идентификаторам пользователя, номерам счетов, телефонным номерам, домашним адресам и другим данным. Для просмотра информации не требовалось каких-либо специальных навыков и инструментов.
Примечательно, Почтовая служба была проинформирована об уязвимости еще год назад, однако устранила проблему только после обращения журналиста Брайана Кребса. По словам представителей агентства, на данный момент нет свидетельств эксплуатации уязвимости сторонними лицами.
Наш канал — питательная среда для вашего интеллекта