安全博客 Krebs On Security报导,美国邮政管理局(US Post Service)网站API有漏洞,让有心人士可以查找登录过其网站的用户数据,估计超过6000万人,甚至还可以篡改用户数据。邮政管理局已经在近日修补了这项漏洞。
最初一名研究人员发现这个漏洞并通知邮政署,却未接获回音。他于是告知了由澳大利亚安全专家BrianKrebs主持的Krebs On Security博客,后者再度联系邮政署,终于迫使事主着手解决。
这项漏洞是出现在邮政署的一项名为Informed Visibility的网页服务API上。这个服务是提供给企业、广告商及其他大宗邮件客户,使他们可以访问广告邮件和包裹接近即时的关注数据。
首先,包括邮政管理局的许多API功能都接受通配符(wildcard)搜索参数,不需输入特定词汇即可回传某类数据的所有纪录。例如只要多个帐号有共同的数据元素,例如街地道址,则利用API搜索单一类数据往往能带出多笔纪录。例如搜索某群数据的用户电子邮件,即可以找出其他用户的帐号,因为这些人都以同一街道来注册帐号。这种方法不需要任何黑客工具,只要知道怎么审查和修改Chrome或Firefox等浏览器处理的数据元素。
第二个问题在于,邮政管理局的API不仅让客户访问数据,还让其他登录usps.com的人都能查找其他用户的信息,像是电子邮件、用户名称、用户ID、帐号号码、街道名称、电话、授权用户、以及邮件发送相关的数据等。这就可能引发垃圾和诈骗邮件的威胁。
Krebs分析后还发现,该API还能让任何用户调用变更其他用户的电邮、电话及其他帐号信息。所幸邮政署有设置变更帐号必须经过身份验证,因此降低了非法篡改的可能性。
邮政管理局在接获研究人员通报后已修补漏洞,并发布声明指出目前所知尚没有人利用该漏洞取得客户纪录。