新闻快讯
< >

美国邮政总局将6千万用户数据暴露了逾一年之久

据报道,美国邮政服务公司因忽视身份验证监督而暴露6千万用户账户详情,任何人只要登陆Web服务便可查看这些信息,这种情况持续了逾一年时间。

某匿名研究员发现,应用程序编程接口(简称API)是USPS用于支持Informed Visibility服务的Web组件,该组件并未对用户读取其他用户的电子邮件地址、用户名、用户ID、账号、街道地址及电话号码等其他用户账号数据信息进行适当的访问控制。 

美国邮政总局将6千万用户数据暴露了逾一年之久-E安全

Informed Visibility计划旨在向批量邮件发送者提供“接近实时的信件与平邮跟踪信息。” 

通配符(Wildcard)支持简化搜索        

攻击者只需在系统中运行查询便可获取信息,还可利用通配符检查那些分享了搜索参数(例如街道地址)的用户。

该研究员在一年多以前就已经向美国邮政服务公司通报了该问题,但从未收到任何回应。上周,该研究员同调查记者布赖恩·克雷布斯(Brian Krebs)分享该报告后,后者向美国邮政服务公司通报了该问题。 

美国邮政局在11月20日修复了该问题,并告诉克雷布斯其一直在监视其网络上的可疑活动。该公司将继续开展调查,以查明是否有人未通过身份验证数据访问遭泄露的账户。 

该问题存在时间如此之长却从未被利用,这实在匪夷所思。2014年,美国邮政服务公司曾经历过一次数据泄露事件,逾75万名员工与近300万客户的个人信息在此次事件中遭泄露 

监察长办公室(简称OIG)安全审计失察        

总监察长办公室利用13台Informed Visibility (简称IV)服务器执行的一次安全审计也未能将其检测出来,该问题似乎是从缝隙中溜掉的。 

10月发布的一份报告发现,IV系统存在某些配置错误问题,但无一项提及为读取用户数据添加访问控制,添加访问控制乃信息安全的底线。

审计发现的问题有Web应用程序通信协议中的身份验证与加密问题,影响服务器机密性、完整性与可用性的配置错误问题,数据库账户管理与审计日志的控制问题以及IV数据库最低配置标准的缺失问题


E安全注:本文系E安全由国外公开媒体搜集并独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号j871798128②邮箱②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站户网站户网站户网站www.easyaq.com , 查 , 查看更多精彩内容。