El servicio
postal de Estados Unidos ha corregido recientemente una vulnerabilidad crítica
que exponía datos de los usuarios.
La oficina
de servicio postal de Estados Unidos se encarga de gestionar el servicio de
correos en todo el país. Uno de sus servicios consiste en ofrece una API con la
que se puede acceder a información sobre el estado de los envíos. Según
especialistas en forense digital y ciberseguridad del Instituto Internacional
de Seguridad Cibernética ha sido corregida, y se trataba de una vulnerabilidad
en la autenticación de la API.
El fallo en
la API ocurría debido a que esta permitía a cualquier usuario registrado en
USPS realizar consultas al sistema utilizando “comodines” como parámetros de
búsqueda. Como resultado, los usuarios podían utilizar este fallo para realizar
consultas sobre cualquier envío y obtener datos de otros usuarios como:
direcciones de email, números de cuenta, números de teléfono o direcciones.
Además de
poder acceder a datos de otros usuarios, un fallo de autenticación en la API,
permitía a cualquier usuario realizar peticiones para modificar datos de otros
usuarios.
Según el
Servicio Postal, por el momento no hay indicios de que esta vulnerabilidad haya
sido explotada de forma maliciosa por ningún usuario. Pero continua estudiando
el incidente para determinar si en algún momento la vulnerabilidad ha sido
explotada.
Más información:
- Noticias Seguridad http://noticiasseguridad.com/hacking-incidentes/datos-de-60-millones-de-usuarios-fueron-expuestos-por-el-servicio-postal-de-eu/
- Cnet https://www.cnet.com/es/noticias/usps-corrige-bug-expuso-datos-60-millones-usuarios/
Fuente:
Hispasec
