美国邮政公布6000万用户数据-王其杉博客|程序员|科技新闻
一个破损的美国邮政服务API允许研究人员通过向服务器发送通配符请求来拉取数百万行的数据,从而暴露了6000多万用户。在重复向USPS请求之后,产生的安全漏洞已经被修补。
USPS服务,称为InformedDelivery,允许您在邮件到达您家之前查看邮件,并提供了一个API,允许用户将他们的邮件连接到专门的服务,如CRM。我们在2017提供了服务。
这位匿名研究人员表示,这项服务接受通配符进行多次搜索,允许任何用户在网站上看到任何其他用户。Brian Krebs在他的网站上有一个API代码的副本。
美国邮政总局告诉克雷布斯,它已经调查了数据曝光,并指出:
计算机网络经常受到试图利用漏洞非法获取信息的罪犯的攻击。与其他公司类似,邮政服务的信息安全计划和检查服务使用行业最佳实践来不断监测我们的网络可疑活动。
任何表明罪犯试图利用我们网络中的潜在漏洞的信息都被非常认真地对待。出于极大的谨慎,邮政局正在进一步调查,以确保任何可能试图不适当地访问我们的系统的人被追捕到法律的最大限度。
Krebs还报道说,身份窃贼滥用这项服务来查看哪些邮件会在哪天到达用户家,从而允许他们随意抓取重要文件和支票。API漏洞已经补丁,但是还不知道在这个强大的工具中还会出现什么其他处理不当的特性。