Баг на сайте Почтовой службы США раскрывал данные о 60 000 000 человек - «Новости»
sitename
Cronos: The New Dawn не станет следующей Dead Space или Resident Evil 4 — критики вынесли вердикт новой игре от создателей ремейка Silent Hill 2 - «Новости сети»
Cronos: The New Dawn не станет следующей Dead Space или Resident Evil 4 — критики вынесли вердикт новой игре от создателей ремейка Silent Hill 2 - «Новости сети»
 Hollow Knight: Silksong уже исправляет ошибки оригинальной игры — горячо ожидаемая метроидвания получит поддержку ультрашироких мониторов - «Новости сети»
Hollow Knight: Silksong уже исправляет ошибки оригинальной игры — горячо ожидаемая метроидвания получит поддержку ультрашироких мониторов - «Новости сети»
 Windows 11 получит долгожданное автопереключение светлой и тёмной темы — Microsoft представила PowerToys 0.94 - «Новости сети»
Windows 11 получит долгожданное автопереключение светлой и тёмной темы — Microsoft представила PowerToys 0.94 - «Новости сети»
 Буквально одно слово в решении суда спасло сделку Apple и Google на $20 млрд в год - «Новости сети»
Буквально одно слово в решении суда спасло сделку Apple и Google на $20 млрд в год - «Новости сети»
 Старые Pixel получили новый интерфейс Material 3 Expressive и свежие ИИ-функции Google - «Новости сети»
Старые Pixel получили новый интерфейс Material 3 Expressive и свежие ИИ-функции Google - «Новости сети»
 От GTX 1060 до RTX 5070: Techland опубликовала полные системные требования Dying Light: The Beast, в том числе для ноутбуков - «Новости сети»
От GTX 1060 до RTX 5070: Techland опубликовала полные системные требования Dying Light: The Beast, в том числе для ноутбуков - «Новости сети»
 «Живи. Умри. И снова»: вдохновлённый фильмом «Грань будущего» шутер Metal Eden поступил в продажу - «Новости сети»
«Живи. Умри. И снова»: вдохновлённый фильмом «Грань будущего» шутер Metal Eden поступил в продажу - «Новости сети»
 Суд разрешил Google не продавать браузер Chrome - «Новости сети»
Суд разрешил Google не продавать браузер Chrome - «Новости сети»
 AMD почти потеряла рынок дискретных видеокарт — Nvidia контролирует уже 94 % - «Новости сети»
AMD почти потеряла рынок дискретных видеокарт — Nvidia контролирует уже 94 % - «Новости сети»
 Thermalright выпустила кулер Phantom Spirit 120 Digital с цифровым дисплеем и поддержкой процессоров с TDP до 275 Вт - «Новости сети»
Thermalright выпустила кулер Phantom Spirit 120 Digital с цифровым дисплеем и поддержкой процессоров с TDP до 275 Вт - «Новости сети»
Новости мира Интернет » Новости » Баг на сайте Почтовой службы США раскрывал данные о 60 000 000 человек - «Новости»

✔Баг на сайте Почтовой службы США раскрывал данные о 60 000 000 человек - «Новости»

24 ноября 2018 871 Новости 0

Известный ИБ-журналист Брайан Кребс (Brian Krebs) рассказал, что из-за проблемы с API на сайте Почтовой службы США (U.S. Postal Service, USPS) любой зарегистрированный пользователь мог просмотреть данные 60 млн человек.


Проблему обнаружил не сам Кребс, но некий ИБ-специалист, пожелавший остаться неизвестным. Кребс объясняет, что неназванный исследователь обратился к нему за помощью, так как уязвимость он нашел еще год назад, попытался уведомить USPS о происходящем, но и так и не получил никакого ответа.


Ошибка была связана с работой API, сообщающегося с сервисом Informed Visibility. Данный сервис для бизнес-пользователей позволяет отслеживать отправления практически в реальном времени. Как оказалось, из-за бага любой залогиненный пользователь usps.com мог просматривать информацию о других пользователях, включая их имена, user ID, email-адреса, номера аккаунтов, телефонные номера, почтовые адреса и так далее.


Кребс пишет, что «дырявый» API также позволял любому пользователю сделать запрос на изменения для учетной записи другого человека, то есть было возможно сменить чужой email, телефонный номер или другие ключевые детали.


После придания проблемы огласке представители USPS сообщили, что уязвимость, наконец-то, была устранена и заверили, что не обнаружили никаких признаков того, что ей могли пользоваться злоумышленники.


Источник новостиgoogle.com
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Известный ИБ-журналист Брайан Кребс (Brian Krebs) рассказал, что из-за проблемы с API на сайте Почтовой службы США (U.S. Postal Service, USPS) любой зарегистрированный пользователь мог просмотреть данные 60 млн человек. Проблему обнаружил не сам Кребс, но некий ИБ-специалист, пожелавший остаться неизвестным. Кребс объясняет, что неназванный исследователь обратился к нему за помощью, так как уязвимость он нашел еще год назад, попытался уведомить USPS о происходящем, но и так и не получил никакого ответа. Ошибка была связана с работой API, сообщающегося с сервисом Informed Visibility. Данный сервис для бизнес-пользователей позволяет отслеживать отправления практически в реальном времени. Как оказалось, из-за бага любой залогиненный пользователь usps.com мог просматривать информацию о других пользователях, включая их имена, user ID, email-адреса, номера аккаунтов, телефонные номера, почтовые адреса и так далее. Кребс пишет, что «дырявый» API также позволял любому пользователю сделать запрос на изменения для учетной записи другого человека, то есть было возможно сменить чужой email, телефонный номер или другие ключевые детали. После придания проблемы огласке представители USPS сообщили, что уязвимость, наконец-то, была устранена и заверили, что не обнаружили никаких признаков того, что ей могли пользоваться злоумышленники. Источник новости - google.com
CSS, любой была службы USPS данные
запостил(а)
Durham
Вернуться назад
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация