Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Servicio de Correos Americano (USPS) expone datos de 60 millones de usuarios




El servicio de correos de Estados Unidos (USPS) arregló una vulnerabilidad que permitía a cualquier usuarios registrado en la web usps.com ver los datos de las cuentas de cerca de 60 millones de usuarios y, en algunos casos, modificar los detalles de la cuenta.








Un investigador que desaa permanecer en el anonimato descubrió el problema, El investigador dijo que informó al USPS sobre su descubrimiento hace más de un año, pero que nunca recibió una respuesta.

El problema surgió de una debilidad de autenticación en un componente web de USPS conocido como una "interfaz de programa de aplicación" o API, básicamente, un conjunto de herramientas que definen cómo varias partes de una aplicación en línea, como las bases de datos y las páginas web, deben interactuar entre sí.

La API en cuestión estaba vinculada a una iniciativa del Servicio Postal llamada "Visibilidad Informada", que según USPS está diseñada para permitir que las empresas, los anunciantes y otros remitentes de correo masivo "tomen mejores decisiones empresariales al proporcionarles acceso a seguimiento casi en tiempo real datos ”sobre campañas y paquetes de correo.

la API debería haber validado que la cuenta que realizó la solicitud tenía permiso para leer los datos solicitados. No parece que las contraseñas de las cuentas de USPS fueron expuestas a través de esta API


Consultas con comodín


Además de exponer datos casi en tiempo real sobre los paquetes y el correo que envían los clientes comerciales de USPS, el fallo permitía a cualquier usuario registrado de usps.com consultar el sistema para obtener detalles de la cuenta que pertenezcan a otros usuarios, como la dirección de correo electrónico, el nombre de usuario, ID de usuario, número de cuenta, dirección, número de teléfono, usuarios autorizados, datos de campañas de correo y otra información.

Muchas de las características de la API aceptaron los parámetros de búsqueda "comodín", lo que significa que se podrían hacer para devolver todos los registros de un conjunto de datos determinado sin la necesidad de buscar términos específicos. No se necesitaron herramientas especiales de hacking para extraer estos datos, aparte del conocimiento sobre cómo ver y modificar los elementos de datos procesados ​​por un navegador web normal como Chrome o Firefox.

La capacidad de modificar las entradas de la base de datos relacionadas con las cuentas de usuario de Visibilidad Informada podría crear problemas para los clientes más grandes de USPS; piense en compañías como Netflix y otras que obtienen tarifas de descuento por grandes volúmenes. Por ejemplo, la API permitió a cualquier usuario convertir cuentas normales de usps.com a cuentas comerciales de Visibilidad Informada, y viceversa.

De acuerdo con una evaluación de vulnerabilidad informada de la Visibilidad Informada (PDF) publicada en octubre de 2018 por la Oficina del Inspector General (OIG) de USPS, los auditores encontraron una serie de deficiencias de autenticación y cifrado en el servicio. Pero parecían haber pasado por alto este problema de seguridad bastante evidente. El USPS le dijo a la OIG que había abordado los problemas de autenticación planteados en el informe de auditoría, que parecen estar relacionados con la forma en que se cifraron los datos en tránsito.



Fuentes:
https://krebsonsecurity.com/2018/11/usps-site-exposed-data-on-60-million-users/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.