Cooperate with us < I >

Focusing on product research and development in the field of information security, we are committed to providing professional information security products, solutions, technical advisory services for government, military and other secret-related units, as well as other enterprises and institutions.

Do you want to talk to us about the field of information security and file encryption?

You can fill in the form on the right to let us know your project requirements and we will contact you as soon as possible. Of course, you are also welcome to call us at 400.

You can also contact us through the following channels:

Address: 7th Floor, Zone B, Innovation Building, Phase I Pearl Bay Software Park, Siming District, Xiamen

Tel: 400-666-0170/0592-2565820

Official website: www.tipray.com

Customer service: sales@tipray.com

Market cooperation: market@tipray.com

Quickly submit your requirements ↓

美国邮政署网站的一个高危漏洞暴露了6000万用户的数据

Release time:2018-11-23 source: Browse times:804

近日,美国邮政署(United States Postal ServiceUSPS)修复了其网站的一个高危漏洞,该漏洞允许任何在usps.com拥有账户的用户查看和修改其他用户的账户信息,约有6000万用户受到影响。

有关该漏洞的消息最初是由知名网络安全记者Brian Krebs报道的,发现漏洞的安全研究人员在上周主动联系了他。

这位不愿透露姓名的安全研究人员表示,他在一年多以前就已经向USPS报告了这个漏洞,但一直没有收到回复。在Brian Krebs验证了漏洞的真实性并联系了USPS之后,该机构立即对其进行了修复。

根据Brian Krebs的报道,这个漏洞源于USPS 的一个应用程序接口(Application Programming Interface API)的身份验证缺陷。这个APIUSPS的一项名为“ Informed Visibility” 的邮政服务计划有关,旨为企业、广告商和其他批量邮件发件人提供接近实时数据跟踪的能力,从而做出更好的业务决策

除了会暴露有关附近包裹和邮件的实时数据之外,该漏洞还允许任何登录usps.com用户向系统查询其他用户的帐户信息,如电子邮箱地址、用户名、用户ID、账号、街道地址、电话号码、授权用户、邮寄活动数据和其他信息。” Brian Krebs在他的文章中写道。

与该API相关的许多功能均支持通配符搜索参数,这也就意味着它们可以返回给定数据集的所有记录,而不需要搜索特定的术语。

安全研究人员发现,使用该API搜索一个特定的数据元素(即地址)可以检索共享数据的多个帐户。除了需要了解如何查看和修改由ChromeFirefox等常规浏览器处理的数据元素之外,并不需要特殊的黑客工具来提取这些数据。

如果多个帐户共享一个公共数据元素(例如街道地址),那么使用该API进行搜索通常会显示多个记录的特定数据元素。例如,如果多个用户在同一物理地址进行注册,那么对电子邮件地址进行搜索就能够发现所有这些帐户。

Brian Krebs表示,这种漏洞是十分危险的,垃圾邮件发送者可能会将其滥用到多种恶意目的,包括网络钓鱼活动。

作为对该漏洞的修复,USPS增加了一个验证步骤,以防止对某些特定数据字段的未经授权修改。当用户尝试通过该API来修改与特定USPS帐户关联的电子邮件地址时,系统会提示发送到与该帐户关联的电子邮件地址的确认消息。好消息是,这个API似乎并没有暴露USPS帐户密码。

Recommended news

美国洛杉矶检察长宣布就数据泄露事件起诉优步

2017-12-06

中新网12月5日电 据外媒报道,美国洛杉矶市检察长富尔12月4日宣布,将就数据泄露事件对美国打车软件公司优步(Ub...

美团已报案!饿了么称一定及时揪出害群之马!但信息泄露仍在继续

2018-04-25

“外卖送餐信息被指在网上售卖”追踪 据报道,多家外卖平台用户信息被泄露,网络卖家、外卖骑手出售外卖订餐...

美国Comcast网站泄露Xfinity路由器客户数据

2018-05-25

两名研究人员近日发现美国用于激活 Xfinity 路由器的 Comcast 网站会泄露用户的敏感信息。Concas...

美国土安全部远程黑掉一架波音757

2017-12-15

在2017 CyberSat峰会上(CyberSat Summit),美国国土安全部(DHS)某官...

大量 Mega 帐户的登录信息遭泄露并暴露了用户文件

2018-07-27

据外媒 ZDNet 报道,Mega —— 这家于新西兰成立并提供在线云存储和文件托管服务的公司,目前被发现其平台中...



Copyright ©2006-2019 厦门天锐科技股份有限公司

在线
客服

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

Back to top