美國郵政服務USPS站點緊急修復安全漏洞:能夠查看任何其它用戶的詳情
據外媒報導,趕在假期購物旺季之前,美國郵政服務USPS網站修正了一個安全漏洞,所有USPS網站註冊用戶(近6000萬人)都能夠利用該漏洞看到任何網站用戶的個人詳細信息。
知名信息安全專家/調查記者Brian Krebs在本週三發文指出了此漏洞,他指出他在啥上週被一位不具名的安全研究者好友聯繫,利用的正是這一漏洞。這位信息安全研究者最早在一年前就發現並且嘗試此漏洞,但從未得到一個正式的回复。當Krebs收到後就確認了研究者的發現,並且報告給USPS。
這一漏洞能夠讓任何已登錄的USPS 用戶能夠“向系統請求任何其它賬號的賬號詳情”,利用了該網站驗證機制API的通知遞送服務Informed Visibilit缺陷,Krebs聲稱其能夠查看到郵箱地址、用戶名、用戶ID信息、街道住址、電話號碼等信息。