示意圖,與新聞事件無關。

圖片來源: 

USPS

安全部落格 Krebs On Security 報導,美國郵政署(US Post Service)網站API有漏洞,讓有心人士可以查詢登入過其網站的用戶資料,估計超過6000萬人,甚至還可以竄改用戶資料。郵政署已經在近日修補了這項漏洞。

最初一名研究人員發現這個漏洞並通知郵政署,卻未接獲回音。他於是告知了由澳洲安全專家Brian Krebs主持的Krebs On Security 部落格,後者再度聯繫郵政署,終於迫使事主著手解決。

這項漏洞是出現在郵政署的一項名為Informed Visibility的網頁服務API上。這個服務是提供給企業、廣告商及其他大宗郵件客戶,使他們可以存取廣告郵件和包裹接近即時的追蹤資料。

首先,包括郵政署的許多API功能都接受萬用字元(wildcard)搜尋參數,不需輸入特定詞彙即可回傳某類資料的所有紀錄。例如只要多個帳號有共同的資料元素,例如街道地址,則利用API搜尋單一類資料往往能帶出多筆紀錄。例如搜尋某群資料的用戶電子郵件,即可以找出其他用戶的帳號,因為這些人都以同一街道來註冊帳號。這種方法不需要任何駭客工具,只要知道怎麼檢視和修改Chrome或Firefox等瀏覽器處理的資料元素。

第二個問題在於,郵政署的API不僅讓客戶存取資料,還讓其他登入usps.com的人都能查詢其他用戶的資訊,像是電子郵件、用戶名稱、用戶ID、帳號號碼、街道名稱、電話、授權用戶、以及郵件寄送相關的資料等。這就可能引發垃圾和詐騙郵件的威脅。

Krebs分析後還發現,該API還能讓任何用戶呼叫變更其他用戶的電郵、電話及其他帳號資訊。所幸郵政署有設定變更帳號必須經過身分驗證,因此降低了非法竄改的可能性。

郵政署在接獲研究人員通報後已修補漏洞,並發佈聲明指出目前所知尚沒有人利用該漏洞取得客戶紀錄。


Advertisement

更多 iThome相關內容