美國郵政服務網站漏洞可暴露6000萬用戶資料,現已修復
前言
美國郵政服務系統剛剛修復了一個嚴重的網站漏洞,該漏洞使得擁有usps.com帳戶的任何人都可檢視和修改約6000萬用戶的賬戶詳情。
漏洞解構
該漏洞源於USPS Web元件中的身份驗證API,根據USPS的說法,基於該API構建的”通知可見“功能可為企業、廣告商和其他批量郵件發件人提供幾乎實時的資料跟蹤和獲取能力,以“做出更好的業務決策”。
該漏洞除了公開USPS商業客戶傳送的包裹和郵件實時資料外,還允許任何登入usps.com的使用者向系統查詢其他使用者的帳戶詳情,例如電子郵件地址、使用者名稱、ID、帳號、街道地址、電話號碼、授權使用者、郵寄活動資料和其他資訊。
與API相關的功能均支援“萬用字元”搜尋引數,也就是說它們可以返回給定資料集的所有記錄,而無需搜尋特定術語。除了需要了解如何檢視和修改由Chrome或Firefox等常規Web瀏覽器處理的資料元素之外,無需特殊的黑客工具來提取這些資料。
USPS宣傳冊,宣傳”通知可見服務“的優勢和好處
如果多個帳戶共享一個公共資料元素(例如街道地址),則使用該API進行搜尋會顯示多個記錄,這樣一來就可以對其他使用者的資訊進行檢視、修改等操作。
影響
通過“通知可見”API獲得對帳戶相關資料庫條目的修改能力,可能會給USPS的大客戶帶來問題,試想一下像Netflix這樣的公司以及其他需要大批量傳送郵件的客戶,要是API允許任何使用者將常規usps.com帳戶轉換為Informed Visibility業務帳戶,中間損失的費用怎麼算。此外,這也會給垃圾郵件傳送者和電子郵件詐騙者提供可趁之機,很容易被用來構建大規模針對性垃圾郵件攻擊或魚叉式網路釣魚。
*參考來源: ofollow,noindex" target="_blank">krebsonsecurity ,Freddy編譯整理,轉載請註明來自 FreeBuf.COM。