Un error crític al lloc web d’USPS va arriscar dades de milions d’usuaris

Il·lustració de xifratge

El Servei Postal dels Estats Units (USPS) ha corregit la seva API fallida que havia exposat els detalls del compte de 60 milions d'usuaris que s'havien inscrit al servei 'Lliurament informat'.

Lliurament informat és un nou servei que USPS ofereix mitjançant el qual la gent pot veure imatges escanejades de tots els seus correus electrònics entrants. Les imatges s’envien abans que l’empresa enviï realment el correu. La gent pot fer un seguiment dels seus correus electrònics i esbrinar prèviament si ha d’arribar algun correu important avui o no.

El defecte de seguretat va permetre a qualsevol persona que tingués un compte a U sps per veure els detalls dels altres usuaris registrats del servei i fins i tot canviar-ne els detalls.

El defecte va ser exposat per primera vegada per un investigador l'any passat, quan va poder extreure dades dels usuaris enviant sol·licituds al servidor. L'investigador va intentar contactar amb USPS diverses vegades per informar-los del defecte de seguretat, però en va. L’investigador va demostrar que quan enviava comodins als servidors, acceptava la majoria d’ells permetent que els altres vegessin els detalls dels titulars del compte.

Especialista en seguretat Brian Krebs va dir que qualsevol usuari connectat a USPS podia cercar detalls del compte d'altres usuaris d'USPS. Els detalls del compte, com ara el número de compte, el nom d'usuari, l'adreça electrònica, l'identificador d'usuari, el número de telèfon, les dades de la campanya de correu, l'adreça i altra informació, eren fàcilment accessibles. Tanmateix, no s'han pogut fer canvis a les dades en alguns camps, ja que hi havia un pas de validació vinculat a aquests camps per canviar les dades.

Segons Krebs, USPS presentava un enorme defecte de seguretat, ja que no hi havia cap experiència real en pirateria que fos necessària per accedir a les dades. Qualsevol persona que tingui els coneixements bàsics per veure i modificar els elements mitjançant un navegador podrà accedir als detalls del compte. USPS va declarar que fins ara no ha rebut cap prova que suggereixi que s'hagi explotat cap detall dels seus usuaris.