USPS corregge l'errore online che ha esposto i dati di 60 milioni di clienti
Il servizio postale degli Stati Uniti (USPS) ha corretto un errore di sicurezza che consentiva a chiunque avesse un account su usps.com di visualizzare i dettagli dell'account di uno qualsiasi dei 60 milioni di persone iscritte al servizio. In alcuni casi, l'errore ha persino permesso di apportare modifiche a tali account.
In un post sul suo sito web, lo specialista della sicurezza Brian Krebs ha dichiarato di essere stato recentemente contattato da un ricercatore che ha dichiarato di aver detto all'USPS il difetto riscontrato l'anno scorso. Dopo aver ricevuto alcuna risposta, il ricercatore ha contattato Krebs, che ha affrontato il problema con l'USPS. Il servizio postale dice che ora ha corretto l'errore.
Alla domanda sul perché a quanto pare ci sia voluto un anno per affrontare il problema, un portavoce della USPS ha detto a Digital Trends che "non è stato in grado di dimostrare la tesi … che il ricercatore ci ha contattato un anno fa".
Krebs ha affermato che l'errore riguardava una vulnerabilità di autenticazione nell'API usps.com collegata a un servizio USPS denominato "Visibilità informata", che consente alle aziende, agli inserzionisti e agli altri mittenti di posta elettronica di accedere a dati di monitoraggio quasi in tempo reale connessi alle loro campagne di posta e pacchetti.
Oltre ad esporre i dati quasi in tempo reale su pacchetti e posta inviati dai clienti commerciali di USPS, Krebs ha spiegato che la vulnerabilità consente a qualsiasi utente usps.com di effettuare la ricerca nel sistema per i dettagli dell'account appartenenti a qualsiasi altro utente, "come e-mail indirizzo, nome utente, ID utente, numero di conto, indirizzo, numero di telefono, utenti autorizzati, dati sulla campagna di spedizione e altre informazioni. "
Potrebbero essere apportate modifiche anche a tali dati, sebbene Krebs abbia notato che per alcuni campi di dati, una fase di convalida, come un messaggio di conferma inviato all'indirizzo email collegato all'account, ha impedito l'alterazione.
Sottolineando la gravità del problema, il ricercatore di sicurezza Krebs ha affermato che "non sono necessari particolari strumenti di hacking per estrarre questi dati, oltre alla conoscenza di come visualizzare e modificare gli elementi di dati elaborati da un normale browser Web come Chrome o Firefox." il know-how sarebbe stato in grado di accedere alle informazioni su chi viveva all'interno di una determinata struttura eseguendo una ricerca regolare sul suo indirizzo.
In una dichiarazione alle tendenze digitali, il servizio postale ha dichiarato: "Qualsiasi informazione che suggerisce che i criminali hanno cercato di sfruttare le potenziali vulnerabilità nella nostra rete è presa molto sul serio. Per un'abbondanza di cautela, il Servizio Postale sta indagando ulteriormente per assicurare che chiunque abbia cercato di accedere ai nostri sistemi in modo inappropriato sia perseguito nella misura massima consentita dalla legge. "
L' USPS ha aggiunto che al momento non ci sono prove che suggeriscano che i record dei clienti siano stati sfruttati in qualche modo.
( Fonte )
