與我們合作

專注信息安全領域產品研發,致力于為政府、軍工等涉密單位及其它企事業單位提供專業的信息安全產品、解決方案、技術顧問咨詢等服務。

有關于信息安全領域及文件加密的問題和我們談談嗎?

您可以填寫右邊的表格,讓我們了解您的項目需求,我們將會盡快與你取得聯系。當然也歡迎您致電我們400電話。

您也可通過下列途徑與我們取得聯系:

地 址:廈門思明區珍珠灣軟件園一期創新大廈B區7樓

電 話:400-666-0170 / 0592-2565820

官 網:www.unmwhv.live

客戶服務:[email protected]

市場合作:[email protected]

快速提交您的需求 ↓

美國郵政署網站的一個高危漏洞暴露了6000萬用戶的數據

發布時間:2018-11-23 來源: 瀏覽次數:3975次

近日,美國郵政署(United States Postal ServiceUSPS)修復了其網站的一個高危漏洞,該漏洞允許任何在usps.com擁有賬戶的用戶查看和修改其他用戶的賬戶信息,約有6000萬用戶受到影響。

有關該漏洞的消息最初是由知名網絡安全記者Brian Krebs報道的,發現漏洞的安全研究人員在上周主動聯系了他。

這位不愿透露姓名的安全研究人員表示,他在一年多以前就已經向USPS報告了這個漏洞,但一直沒有收到回復。在Brian Krebs驗證了漏洞的真實性并聯系了USPS之后,該機構立即對其進行了修復。

根據Brian Krebs的報道,這個漏洞源于USPS 的一個應用程序接口(Application Programming Interface API)的身份驗證缺陷。這個APIUSPS的一項名為“ Informed Visibility” 的郵政服務計劃有關,旨為企業、廣告商和其他批量郵件發件人提供接近實時數據跟蹤的能力,從而做出更好的業務決策

除了會暴露有關附近包裹和郵件的實時數據之外,該漏洞還允許任何登錄usps.com用戶向系統查詢其他用戶的帳戶信息,如電子郵箱地址、用戶名、用戶ID、賬號、街道地址、電話號碼、授權用戶、郵寄活動數據和其他信息。” Brian Krebs在他的文章中寫道。

與該API相關的許多功能均支持通配符搜索參數,這也就意味著它們可以返回給定數據集的所有記錄,而不需要搜索特定的術語。

安全研究人員發現,使用該API搜索一個特定的數據元素(即地址)可以檢索共享數據的多個帳戶。除了需要了解如何查看和修改由ChromeFirefox等常規瀏覽器處理的數據元素之外,并不需要特殊的黑客工具來提取這些數據。

如果多個帳戶共享一個公共數據元素(例如街道地址),那么使用該API進行搜索通常會顯示多個記錄的特定數據元素。例如,如果多個用戶在同一物理地址進行注冊,那么對電子郵件地址進行搜索就能夠發現所有這些帳戶。

Brian Krebs表示,這種漏洞是十分危險的,垃圾郵件發送者可能會將其濫用到多種惡意目的,包括網絡釣魚活動。

作為對該漏洞的修復,USPS增加了一個驗證步驟,以防止對某些特定數據字段的未經授權修改。當用戶嘗試通過該API來修改與特定USPS帳戶關聯的電子郵件地址時,系統會提示發送到與該帳戶關聯的電子郵件地址的確認消息。好消息是,這個API似乎并沒有暴露USPS帳戶密碼。

推薦新聞

全國首例AI犯罪案:能識別98%的驗證碼,泄露10億多組個人信息

2017-10-17

AI 開始進入我們的生活,棲息在智能音箱或者手機里的它們,是能夠給你放音樂、陪聊天的助手,而在互聯網的灰色地帶里,...

凱悅酒店遭黑客攻擊住客信息泄露 中國有18家受影響

2017-10-16

北京商報訊酒店系統屢次成為黑客攻擊的對象,讓住客信息安全受到威脅。北京商報記者10月15日獲悉,最近,全球&nbs...

信息泄露對企業的危害:是否已經中招

2018-04-26

互聯網給企業帶來了巨大的改變,但也面臨著更多的網絡安全問題。與單個用戶比較,公司存在高質量的數據,機密資料。而大多...

德勤之后,另一家咨詢公司埃森哲也被曝出安全問題

2017-10-13

繼上月末四大咨詢公司之一的德勤被黑后,另一家咨詢公司埃森哲也被爆出安全問題。 安全公司UpGuard發...

四年來雅虎因多次數據泄露賠償1.175億美元

2019-10-10

據報道,雅虎數據泄露處理部門網站稱,某事件中包含的該公司網絡安全問題從2012年一直延續到2016年。據調查,涉及...

Copyright ?2006-2019 廈門天銳科技股份有限公司

在線
客服

在線客服服務時間:24小時

客服
熱線

400-666-0170
0592-2565820
7*24小時客戶服務熱線
點擊上方電話,免費通話

返回
頂部
北京pk10开奖网