与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门市集美软件园三期 C08栋 19F

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

验证码

美国邮政署网站的一个高危漏洞暴露了6000万用户的数据

发布时间:2018-11-23 来源: 浏览次数:7660次

近日,美国邮政署(United States Postal ServiceUSPS)修复了其网站的一个高危漏洞,该漏洞允许任何在usps.com拥有账户的用户查看和修改其他用户的账户信息,约有6000万用户受到影响。

有关该漏洞的消息最初是由知名网络安全记者Brian Krebs报道的,发现漏洞的安全研究人员在上周主动联系了他。

这位不愿透露姓名的安全研究人员表示,他在一年多以前就已经向USPS报告了这个漏洞,但一直没有收到回复。在Brian Krebs验证了漏洞的真实性并联系了USPS之后,该机构立即对其进行了修复。

根据Brian Krebs的报道,这个漏洞源于USPS 的一个应用程序接口(Application Programming Interface API)的身份验证缺陷。这个APIUSPS的一项名为“ Informed Visibility” 的邮政服务计划有关,旨为企业、广告商和其他批量邮件发件人提供接近实时数据跟踪的能力,从而做出更好的业务决策

除了会暴露有关附近包裹和邮件的实时数据之外,该漏洞还允许任何登录usps.com用户向系统查询其他用户的帐户信息,如电子邮箱地址、用户名、用户ID、账号、街道地址、电话号码、授权用户、邮寄活动数据和其他信息。” Brian Krebs在他的文章中写道。

与该API相关的许多功能均支持通配符搜索参数,这也就意味着它们可以返回给定数据集的所有记录,而不需要搜索特定的术语。

安全研究人员发现,使用该API搜索一个特定的数据元素(即地址)可以检索共享数据的多个帐户。除了需要了解如何查看和修改由ChromeFirefox等常规浏览器处理的数据元素之外,并不需要特殊的黑客工具来提取这些数据。

如果多个帐户共享一个公共数据元素(例如街道地址),那么使用该API进行搜索通常会显示多个记录的特定数据元素。例如,如果多个用户在同一物理地址进行注册,那么对电子邮件地址进行搜索就能够发现所有这些帐户。

Brian Krebs表示,这种漏洞是十分危险的,垃圾邮件发送者可能会将其滥用到多种恶意目的,包括网络钓鱼活动。

作为对该漏洞的修复,USPS增加了一个验证步骤,以防止对某些特定数据字段的未经授权修改。当用户尝试通过该API来修改与特定USPS帐户关联的电子邮件地址时,系统会提示发送到与该帐户关联的电子邮件地址的确认消息。好消息是,这个API似乎并没有暴露USPS帐户密码。

推荐新闻

天锐绿盾Mac数据加密管理系统

2021-03-01

天锐绿盾Mac数据加密管理系统 ,Mac是苹果电脑操作系统,因为国内有相当一部分人群是使用苹果电脑的,但主流Win...

使用文档加密软件时,注意这三点

2022-06-07

文档加密软件能够方便用户对机密进行加密,解决机密泄露的问题而且还能够做到安全有保障。那么需要对重要的文件进行加密处...

【天锐绿盾答疑】云文档管理如何开展?

2022-06-21

现在越来越多的文件以电子文档的形式存储和传输。这些电子化的资料成为了企业赖以生存和发展的宝贵财富,其安全性至关重要...

物联网厂商Wyze确认服务器泄漏,AIoT时代用户数据安全吗?

2019-12-30

 随着AIoT时代的到来,我们的身边开始充斥着越来越多的物联网设备,它们随时与互联网连接,在为用户提供服...

三千万公民信息在网上泄露,这是南非史上最大的数据泄露事件

2017-10-20

南非共 3 千万公民ID号及其他个人信息财务信息在网上泄露,这是南非史上最大的数据泄露事件。 这次的数...



Copyright ©2006-2022 厦门天锐科技股份有限公司

在线
客服

在线客服服务时间:24小时

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

返回
顶部