Illustration de cryptage
Le service postal des États-Unis (USPS) a corrigé son API cassée qui avait révélé les détails du compte de 60 millions d'utilisateurs qui s'étaient inscrits au service «Informed Delivery».
Informed Delivery est un nouveau service fourni par USPS grâce auquel les gens peuvent voir des images numérisées de tous leurs courriers entrants. Les images sont envoyées avant que le courrier ne soit effectivement livré par l'entreprise. Les gens peuvent garder une trace de leurs courriers et savoir à l'avance si des courriers importants doivent arriver aujourd'hui ou non.
La faille de sécurité permettait à toute personne ayant un compte chez U sps pour afficher les détails des autres utilisateurs enregistrés du service et même modifier les détails de ces utilisateurs.
La faille a d'abord été révélée par un chercheur l'année dernière quand il a pu extraire les données des utilisateurs en envoyant des requêtes au serveur. Le chercheur a tenté de contacter USPS à plusieurs reprises afin de leur parler de la faille de sécurité, mais en vain. Le chercheur a montré que lorsque vous envoyiez des jokers aux serveurs, il acceptait la majorité d'entre eux permettant aux autres de voir les détails des titulaires de compte.
Spécialiste sécurité Brian Krebs a déclaré que tout utilisateur connecté d'USPS était en mesure de rechercher les détails du compte d'autres utilisateurs d'USPS. Les détails du compte tels que le numéro de compte, le nom d'utilisateur, l'adresse e-mail, l'ID utilisateur, le numéro de téléphone, les données de campagne de publipostage, l'adresse et d'autres informations étaient facilement accessibles. Cependant, des modifications dans les données n'ont pas pu être apportées à certains des champs car une étape de validation était liée à ces champs pour modifier les données.
Selon Krebs, il y avait une énorme faille de sécurité de la part d'USPS car il n'y avait pas de véritable expertise en piratage informatique nécessaire pour accéder aux données. Toute personne ayant les connaissances de base pour afficher et modifier les éléments à l'aide d'un navigateur pourrait accéder aux détails du compte. USPS a déclaré qu'ils n'avaient jusqu'à présent reçu aucune preuve suggérant qu'il y ait eu une exploitation des détails de compte de ses utilisateurs.
Mots clés Les données Sécurité
