Cooperate with us < I >

Focusing on product research and development in the field of information security, we are committed to providing professional information security products, solutions, technical advisory services for government, military and other secret-related units, as well as other enterprises and institutions.

Do you want to talk to us about the field of information security and file encryption?

You can fill in the form on the right to let us know your project requirements and we will contact you as soon as possible. Of course, you are also welcome to call us at 400.

You can also contact us through the following channels:

Address: 7th Floor, Zone B, Innovation Building, Phase I Pearl Bay Software Park, Siming District, Xiamen

Tel: 400-666-0170/0592-2565820

Official website: www.tipray.com

Customer service: sales@tipray.com

Market cooperation: market@tipray.com

Quickly submit your requirements ↓

美国邮政署网站的一个高危漏洞暴露了6000万用户的数据

Release time:2018-11-23 source: Browse times:968

近日,美国邮政署(United States Postal ServiceUSPS)修复了其网站的一个高危漏洞,该漏洞允许任何在usps.com拥有账户的用户查看和修改其他用户的账户信息,约有6000万用户受到影响。

有关该漏洞的消息最初是由知名网络安全记者Brian Krebs报道的,发现漏洞的安全研究人员在上周主动联系了他。

这位不愿透露姓名的安全研究人员表示,他在一年多以前就已经向USPS报告了这个漏洞,但一直没有收到回复。在Brian Krebs验证了漏洞的真实性并联系了USPS之后,该机构立即对其进行了修复。

根据Brian Krebs的报道,这个漏洞源于USPS 的一个应用程序接口(Application Programming Interface API)的身份验证缺陷。这个APIUSPS的一项名为“ Informed Visibility” 的邮政服务计划有关,旨为企业、广告商和其他批量邮件发件人提供接近实时数据跟踪的能力,从而做出更好的业务决策

除了会暴露有关附近包裹和邮件的实时数据之外,该漏洞还允许任何登录usps.com用户向系统查询其他用户的帐户信息,如电子邮箱地址、用户名、用户ID、账号、街道地址、电话号码、授权用户、邮寄活动数据和其他信息。” Brian Krebs在他的文章中写道。

与该API相关的许多功能均支持通配符搜索参数,这也就意味着它们可以返回给定数据集的所有记录,而不需要搜索特定的术语。

安全研究人员发现,使用该API搜索一个特定的数据元素(即地址)可以检索共享数据的多个帐户。除了需要了解如何查看和修改由ChromeFirefox等常规浏览器处理的数据元素之外,并不需要特殊的黑客工具来提取这些数据。

如果多个帐户共享一个公共数据元素(例如街道地址),那么使用该API进行搜索通常会显示多个记录的特定数据元素。例如,如果多个用户在同一物理地址进行注册,那么对电子邮件地址进行搜索就能够发现所有这些帐户。

Brian Krebs表示,这种漏洞是十分危险的,垃圾邮件发送者可能会将其滥用到多种恶意目的,包括网络钓鱼活动。

作为对该漏洞的修复,USPS增加了一个验证步骤,以防止对某些特定数据字段的未经授权修改。当用户尝试通过该API来修改与特定USPS帐户关联的电子邮件地址时,系统会提示发送到与该帐户关联的电子邮件地址的确认消息。好消息是,这个API似乎并没有暴露USPS帐户密码。

Recommended news

Forrester遭遇黑客入侵,数据防泄密应该这样做

2017-11-07

Forrester遭遇黑客入侵,数据防泄密应该这样做不久之前,知名市场调研公司Forrester遭遇了黑客入侵。可...

漏洞暴露近一周才修复,某成人VR App可能泄露用户信息

2018-01-23

在供应商介入并修补安全漏洞之前,有关成人虚拟现实(VR)应用程序中两个漏洞的详细信息已经公布了五天。 ...

北美高端奢侈品百货遭遇大规模数据泄露事件

2018-04-08

加拿大著名百货公司哈德逊湾(Hudson's Bay)于当地时间4月1日发表声明称,旗下高端连锁百货 Saks F...

黑客宣布无条件删除A站泄露数据库

2018-06-14

雷锋网消息,6月13日晚,曾扬言要分阶段公开A站被泄漏用户信息的黑客,在地下论坛发帖表示:出于A站客服态度诚恳,以...

苹果网站漏洞曝光7200万iphone用户PIN码

2018-09-07

据外媒报道,新闻聚合网站BuzzFeed发布的一份最新报告称,苹果网站和手机保险公司Asuri...

Copyright ©2006-2019 厦门天锐科技股份有限公司

在线
客服

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

Back to top