Kompleksowe szkolenie: wprowadzenie do bezpieczeństwa IT od sekuraka z rabatem 50%. Jedyna taka okazja w tym roku. Nie przegap! :-)

Amerykańska poczta dziurawa jak szwajcarski ser. Przez API można było czytać / zmieniać dane 60 milionów użytkowników

21 listopada 2018, 22:17 | W biegu | komentarze 4
Tagi: , ,

Opis małej afery tutaj. Ciekawym jest fakt, że badacz poinformował USPS o problemie przeszło rok temu, ale nie doczekał się odpowiedzi. Poszedł więc do Briana Krebsa, który rozkręcił aferę.

W API mieliśmy względnie klasyczne błędy autoryzacyjne, umożliwiające na dostęp do danych innych klientów:

In addition to exposing near real-time data about packages and mail being sent by USPS commercial customers, the flaw let any logged-in usps.com user query the system for account details belonging to any other users, such as email address, username, user ID, account number, street address, phone number, authorized users, mailing campaign data and other information.

A żeby było ciekawiej część metod API umożliwiała podanie pewnych parametrów w wersji wildcard – więc hurtem można było otrzymać pełne paczki danych:

USPS w odpowiedzi na doniesienia Krebsa wydał oświadczenie gdzie pisze m.in.:

Any information suggesting criminals have tried to exploit potential vulnerabilities in our network is taken very seriously.

Więc około roczne ignorowanie problemu to teraz podejście 'taken very seriously’. Smaczku dodaje jeszcze fakt, że system przeszedł audyt. Zatem procedury zostały dopełnione, pacjent zmarł.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Ciastkowy

    pytanie zasadnicze, ile zarabia tamtejsze IT? jak mało to nawet nie ma o czym gadać..

    Odpowiedz
  2. Kingu

    Sprawdzono papierki, odpalono skanery (HP i Nessus), wyszło trochę danych które zebrano kilkoma narzędziami i po audycie.
    Bezpieczeństwo teoretyczne.

    Odpowiedz
  3. Kili

    Hmm, ciekawe jakim cudem przeszli audyt?

    Odpowiedz
    • W procedurach było wszystko OK. To jak w RODO – procedury grają, więc wszystko jest bezpiecznie… oh wait… :P

      Odpowiedz

Odpowiedz