美國郵政局釋出API漏洞補丁 6000萬用戶安全受影響
新浪科技訊 北京時間11月22日上午訊息,據報道,美國郵政局(USPS)週三釋出補丁修補了一個API漏洞。該漏洞可允許任何擁有USPS.com賬戶的人檢視其他使用者賬戶,大約有6000萬美國郵政使用者受該安全漏洞影響。
根據Kerbs on Security的報道,這個漏洞在一年前由一名獨立的安全研究員首次發現,該研究員隨後告知了美國郵政局,然而從未獲得任何回覆,直到上週Krebs以該研究員名義聯絡了美國郵政局。
受影響API是美國郵政局“Informed Visibility”專案的一部分,該專案旨在幫助批量郵件發件人能夠以近乎實時的方式獲得跟蹤資料。然而問題在於,任何登入了系統並且對在Web瀏覽器控制檯中修改引數有基本瞭解的人,在該API的“幫助下”,都可利用任何數量的“萬用字元”搜尋引數獲取其他使用者的大量資料:從使用者名稱、賬號到實際地址和聯絡方式等等。
隨後美國郵政局釋出了一份宣告,稱目前為止他們並未發現該漏洞為人利用以獲取使用者資訊。郵政局在獲得此漏洞訊息後將竭力修復漏洞減輕其影響。(圖爾)