Americká poštovní služba USPS opravila chybu, která umožňovala si prohlížet na jejím webu osobní údaje 60 milionů zákazníků

Americká poštovní služba United States Postal Service (USPS) opravila vážnou bezpečnostní chybu, jež umožňovala komukoli s účtem na jejím webu si na něm prohlížet osobní údaje 60 milionů klientů. V některých případech bylo dokonce možné účty upravovat.

Ve svém blogovém příspěvku bezpečnostní expert Brian Krebs uvedl, že nedávno jej kontaktoval člověk z branže, který mu řekl, že USPS o chybě informoval již minulý rok, nepřišla mu však žádná odpověď. Poté, co případ urgoval Krebs, služba oznámila, že bug nyní opravila. Opravila jej prý tak pozdě proto, že dlouho nebyla schopna potvrdit, že se jedná skutečně o chybu.

Podle Krebse se bug týkal slabého místa v oblasti autentizace v programovacím rozhraní webu USPS, které je navázáno na její službu Informed Visibility, jež poskytuje firmám, podnikům a jiným odesílatelům pošty ve velkém přístup k téměř v reálném čase probíhajícímu sledování jejich reklamních kampaní a balíků.

Chyba kromě toho umožňovala komukoli, kdo se přihlásil na web USPS, vyhledat podrobnosti o účtech klientů, např. čísla účtů, uživatelská jména, e-maily, telefonní čísla, adresy, údaje o poštovních zásilkách apod. Uvedená data bylo možné i měnit, i když úprava některých údajů vyžadovala validaci (v podobě potvrzovací zprávy zaslané na e-mailovou adresu spojenou s daným účtem atd.).

Krebs dodal, že k získání přístupu k těmto údajům nebyly třeba žádné speciální hackovací nástroje, stačilo prý jen vědět, jak prohlížet a modifikovat datové prvky zpracovávané běžnými prohlížeči jako Firefox nebo Chrome.

USPS podle svých slov v tuto chvíli nemá poznatky, že by došlo jakýmkoliv způsobem ke zneužití zákaznických dat.

Zdroj: digitaltrends.com