اطلاعات ۶۰ میلیون کاربر پست ایالات متحده در معرض خطر قرار گرفت

خدمات پست ایالات متحده (USPS) یک نقص امنیتی را در وب‌سایت این شرکت برطرف کرده است که به هر کسی که یک حساب کاربری در usps.com دسترسی دارد اجازه می‌دهد تا جزئیات حساب کاربری هر یک از ۶۰ میلیون کاربر این سیستم را مشاهده نماید. در بعضی موارد، این نقص حتی اجازه ایجاد تغییربت دز این حساب‌ها را نیز داده است.

Brian Krebs، متخصص امنیت، در یک پست  گفت که او اخیرا با یک محقق تماس گرفته است و این محقق گفته که او در سال گذشته در مورد این نقص با خدمات پستی ایالات متحده صحبت کرده است. پس از دریافت هیچ پاسخی، محقق با Krebs تماس گرفت، که این موضوع را با USPS پیگیری نماید. سرویس پستی می‌گوید که اشکال را رفع کرده است.

یک سخنگوی خدمات پستی ایالات متحده به در پاسخ خبرنگار Digital Trends به این سوال که چرا یک سال برای مقابله با این مشکل طول کشیده  گفت:

این ادعا را نمی‌توان اثبات کرد … که این محقق یک سال پیش ما را مطلع کرده است.

Krebs گفت که این اشکال مربوط به آسیب پذیری احراز هویت در API موجود در usps.com است که به سرویس خدمات پستی ایالات متحده به نام “Visibility Informed” مربوط می‌شود. این سیستم به صاحبان کسب و کار، تبلیغ کنندگان و دیگر فرستندگان ایمیل‌های انبوه اجازه‌ی دسترسی بلادرنگ را به اطلاعات ردیابی مرتبط با ایمیل‌ها و بسته‌های افراد می‌دهد.

Krebs توضیح داد که آسیب پذیری اجازه می‌دهد تا هر کاربر usps.com سیستم اطلاعات مربوط به حساب متعلق به هر کاربر دیگری را “مانند آدرس ایمیل، نام کاربری، شناسه کاربر، شماره حساب، آدرس خیابان، شماره تلفن، کاربران مجاز، داده‌های کمپین پستی و سایر اطلاعات. را مشاهده کند.

علاوه بر آن می‌توان داده‌های این حساب‌ها را هم تغییر داد، اگر چه Krebs خاطر نشان کرد که برای بعضی از داده، مرحله اعتبار سنجی – مانند یک پیام تأیید ارسال شده به آدرس ایمیل مرتبط با حساب – مانع از تغییر در زمان انجام شد.

کریبس، پژوهشگر امنیت، با اشاره به جدی بودن این نقص، گفت:

هیچ ابزار خاصی برای هک کردن  این داده‌ها نیاز نیست و تنها به دانش چگونگی مشاهده و اصلاح عناصر داده پردازش شده توسط یک مرورگر وب معمولی مانند کروم و فایرفاکس نیاز است. با انجام جستجوی منظم در آدرس خیابان، می‌توان اطلاعاتی را در مورد افرادی که در یک محل خاص زندگی می‌کردند دسترسی پیدا کرد.

در بیانیه‌ای سرویس پستی گفت:

هر گونه اطلاعاتی که نشان بدهد که مجرمان سعی در بهره برداری از آسیب‌پذیری‌های احتمالی در شبکه‌ی ما دارند بسیار جدی گرفته می‌شود. برای احتیاط بیشتر، خدمات پستی بررسی‌های بیشتری را انجام خواهد داد تا اطمینان حاصل شود که هر کسی که ممکن است نادرست به سیستم‌های ما دسترسی داشته باشد، تحت پیگرد قانون قرار بگیرد.

خدمات پستی ایالات متحده افزود که در حال حاضر شواهدی وجود ندارد که نشان دهنده‌ی سوء استفاده از سوابق مشتری‌ها باشد.