美國郵政局發布API漏洞補丁6000萬用戶安全受影響
據報導,美國郵政局(USPS)週三發布補丁修補了一個API漏洞。該漏洞可允許任何擁有USPS.com賬戶的人查看其他用戶賬戶,大約有6000萬美國郵政用戶受該安全漏洞影響。根據Kerbs on Security的報導,這個漏洞在一年前由一名獨立的安全研究員首次發現,該研究員隨後告知了美國郵政局,然而從未獲得任何回复,直到上週Krebs以該研究員名義聯繫了美國郵政局。
受影響API是美國郵政局“Informed Visibility”項目的一部分,該項目旨在幫助批量郵件發件人能夠以近乎實時的方式獲得跟踪數據。然而問題在於,任何登錄了系統並且對在Web瀏覽器控制台中修改參數有基本了解的人,在該API的“幫助下”,都可利用任何數量的“通配符”搜索參數獲取其他用戶的大量數據:從用戶名、賬號到實際地址和聯繫方式等等。
隨後美國郵政局發布了一份聲明,稱目前為止他們並未發現該漏洞為人利用以獲取用戶信息。郵政局在獲得此漏洞消息後將竭力修復漏洞減輕其影響。