美國郵政服務網站漏洞可暴露6000萬用戶數據，現已修復

前言

美國郵政服務系統剛剛修復了一個嚴重的網站漏洞，該漏洞使得擁有usps.com帳戶的任何人都可查看和修改約6000萬用戶的賬戶詳情。

漏洞解構

該漏洞源於USPS Web組件中的身份驗證API，根據USPS的說法，基於該API構建的」通知可見「功能可為企業、廣告商和其他批量郵件發件人提供幾乎實時的數據跟蹤和獲取能力，以「做出更好的業務決策」。

該漏洞除了公開USPS商業客戶發送的包裹和郵件實時數據外，還允許任何登錄usps.com的用戶向系統查詢其他用戶的帳戶詳情，例如電子郵件地址、用戶名、ID、帳號、街道地址、電話號碼、授權用戶、郵寄活動數據和其他信息。

與API相關的功能均支持「通配符」搜索參數，也就是說它們可以返回給定數據集的所有記錄，而無需搜索特定術語。除了需要了解如何查看和修改由Chrome或Firefox等常規Web瀏覽器處理的數據元素之外，無需特殊的黑客工具來提取這些數據。

USPS宣傳冊，宣傳」通知可見服務「的優勢和好處

如果多個帳戶共享一個公共數據元素（例如街道地址），則使用該API進行搜索會顯示多個記錄，這樣一來就可以對其他用戶的信息進行查看、修改等操作。

影響

通過「通知可見」API獲得對帳戶相關資料庫條目的修改能力，可能會給USPS的大客戶帶來問題，試想一下像Netflix這樣的公司以及其他需要大批量發送郵件的客戶，要是API允許任何用戶將常規usps.com帳戶轉換為Informed Visibility業務帳戶，中間損失的費用怎麼算。此外，這也會給垃圾郵件發送者和電子郵件詐騙者提供可趁之機，很容易被用來構建大規模針對性垃圾郵件攻擊或魚叉式網路釣魚。

*參考來源：krebsonsecurity，Freddy編譯整理，轉載請註明來自 FreeBuf.COM。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！