El Servicio Postal de los Estados Unidos ha corregido una vulnerabilidad de seguridad crítica que expuso los datos de más de 60 millones de clientes a cualquier persona que tenga una cuenta en el sitio web USPS.com.
El USPS es una agencia independiente del gobierno federal estadounidense responsable de proporcionar el servicio postal en los Estados Unidos y es una de las pocas agencias gubernamentales autorizadas explícitamente por la Constitución de los Estados Unidos.
La vulnerabilidad está vinculada a una debilidad de autenticación en una interfaz de programación de aplicaciones (API) para el programa de «Visibilidad Informada» de USPS diseñado para ayudar a los clientes comerciales a rastrear el correo en tiempo real.
60 millones de datos de usuarios de USPS expuestos
De acuerdo con el investigador de seguridad cibernética, que no ha revelado su identidad, la API fue programada para aceptar cualquier número de parámetros de búsqueda «comodín», lo que permite a cualquier usuario registrado en usps.com consultar el sistema para obtener detalles de la cuenta que pertenezcan a cualquier otro usuario.
En otras palabras, el atacante podría haber quitado las direcciones de correo electrónico, los nombres de usuario, las ID de usuario, los números de cuenta, las direcciones, los números de teléfono, los usuarios autorizados y los datos de las campañas de correo de hasta 60 millones de cuentas de clientes de USPS.
«Las API se están convirtiendo en un arma de doble filo cuando se trata de conectividad y seguridad B2B a escala de Internet. Las API, cuando son inseguras, rompen la premisa de la conectividad súper que han ayudado a establecer», Setu Kulkarni, vicepresidente de estrategia y negocios El desarrollo en WhiteHat Security le dijo a The Hacker News.
«Para evitar fallas similares, las agencias gubernamentales y las empresas deben ser proactivas, no solo reactivas, en lo que respecta a la seguridad de las aplicaciones. Todas las empresas que manejan datos de los consumidores deben hacer de la seguridad una preocupación constante y prioritaria con la obligación de realizar las tareas más estrictas. Pruebas de seguridad frente a vías vulnerables: API, conexiones de red, aplicaciones móviles, sitios web y bases de datos. Las organizaciones que dependen de plataformas digitales necesitan educar y capacitar a los desarrolladores para que codifiquen utilizando las mejores prácticas de seguridad a lo largo de todo el ciclo de vida del software (SLC), con la capacitación de seguridad adecuada. y certificaciones.
USPS ignoró la divulgación responsable durante más de un año
¿Qué es más preocupante?
La vulnerabilidad de autenticación de la API también permitió a cualquier usuario de USPS solicitar cambios de cuenta para otros usuarios, como sus direcciones de correo electrónico, números de teléfono u otros detalles clave.
La peor parte de todo el incidente fue el manejo de USPS de la divulgación responsable de vulnerabilidades.
El investigador anónimo supuestamente descubrió e informó de manera responsable esta vulnerabilidad el año pasado al Servicio Postal, quien la ignoró y dejó expuestos los datos de sus usuarios hasta la semana pasada cuando un periodista se comunicó con USPS en nombre del investigador.
Y luego, el servicio de portal abordó el problema en solo 48 horas, dijo el periodista Brian Krebs .
«Si bien no estamos seguros de si alguien realmente aprovechó la vulnerabilidad, se informó que existió durante todo un año, por lo que deberíamos asumir lo peor», dijo Paul Bischoff, defensor de la privacidad de Comparitech a The Hacker News.
USPS responde diciendo:
«Actualmente no tenemos información de que esta vulnerabilidad haya sido aprovechada para explotar los registros de los clientes».
«Debido a una gran cantidad de precauciones, el Servicio Postal está investigando para garantizar que cualquier persona que haya intentado acceder a nuestros sistemas de manera inadecuada sea perseguida en la máxima medida de la ley».
_______________________________________________________________
Tomado de: thehackernews
Se Respetan Derechos de Autor.