Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2018
(Total:
150
)
-
▼
noviembre
(Total:
21
)
- Incidente de Seguridad en tienda Dell.com
- Servicio de Correos Americano (USPS) expone datos ...
- Alemania quiere regular los routers que usan los u...
- Congreso Español aprueba el cierre de páginas web ...
- 0-day en PHP: borran 6.500 sitios de la Dark Web e...
- Ministro Ciberseguridad Japonés nunca ha usado un ...
- Herramientas y recursos de seguridad en Amazon Web...
- Seguridad informática con Raspberry Pi
- Crean huellas dactilares maestras capaces de engañ...
- Firefox avisa cuando entras a una web que haya sid...
- ISP Nigeriano redirecciona por error tráfico de Go...
- Actualización de seguridad para Plugin WordPress p...
- Bot crea parches en GitHub bajo pseudónimo humano ...
- CAINE 10 - Computer Aided Investigative Environmen...
- Valve recompensa con 20 mil dólares descubridor bu...
- Copia de Seguridad de WhatsApp en Google Drive
- PHP 5 y 7.0 dejarán de tener soporte a finales de año
- Manual JavaScript quiere que aprendas el 80% de to...
- Samsung anuncia su primer smartphone con pantalla ...
- Vulnerabilidades críticas en el cifrado nativo de SSD
- Hackers vinculados a Corea del Norte roban millone...
-
▼
noviembre
(Total:
21
)
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
Servicio de Correos Americano (USPS) expone datos de 60 millones de usuarios
viernes, 30 de noviembre de 2018
|
Publicado por
el-brujo
|
Editar entrada
El servicio de correos de Estados Unidos (USPS) arregló una vulnerabilidad que permitía a cualquier usuarios registrado en la web usps.com ver los datos de las cuentas de cerca de 60 millones de usuarios y, en algunos casos, modificar los detalles de la cuenta.
Un investigador que desaa permanecer en el anonimato descubrió el problema, El investigador dijo que informó al USPS sobre su descubrimiento hace más de un año, pero que nunca recibió una respuesta.
El problema surgió de una debilidad de autenticación en un componente web de USPS conocido como una "interfaz de programa de aplicación" o API, básicamente, un conjunto de herramientas que definen cómo varias partes de una aplicación en línea, como las bases de datos y las páginas web, deben interactuar entre sí.
La API en cuestión estaba vinculada a una iniciativa del Servicio Postal llamada "Visibilidad Informada", que según USPS está diseñada para permitir que las empresas, los anunciantes y otros remitentes de correo masivo "tomen mejores decisiones empresariales al proporcionarles acceso a seguimiento casi en tiempo real datos ”sobre campañas y paquetes de correo.
la API debería haber validado que la cuenta que realizó la solicitud tenía permiso para leer los datos solicitados. No parece que las contraseñas de las cuentas de USPS fueron expuestas a través de esta API
Además de exponer datos casi en tiempo real sobre los paquetes y el correo que envían los clientes comerciales de USPS, el fallo permitía a cualquier usuario registrado de usps.com consultar el sistema para obtener detalles de la cuenta que pertenezcan a otros usuarios, como la dirección de correo electrónico, el nombre de usuario, ID de usuario, número de cuenta, dirección, número de teléfono, usuarios autorizados, datos de campañas de correo y otra información.
Muchas de las características de la API aceptaron los parámetros de búsqueda "comodín", lo que significa que se podrían hacer para devolver todos los registros de un conjunto de datos determinado sin la necesidad de buscar términos específicos. No se necesitaron herramientas especiales de hacking para extraer estos datos, aparte del conocimiento sobre cómo ver y modificar los elementos de datos procesados por un navegador web normal como Chrome o Firefox.
La capacidad de modificar las entradas de la base de datos relacionadas con las cuentas de usuario de Visibilidad Informada podría crear problemas para los clientes más grandes de USPS; piense en compañías como Netflix y otras que obtienen tarifas de descuento por grandes volúmenes. Por ejemplo, la API permitió a cualquier usuario convertir cuentas normales de usps.com a cuentas comerciales de Visibilidad Informada, y viceversa.
De acuerdo con una evaluación de vulnerabilidad informada de la Visibilidad Informada (PDF) publicada en octubre de 2018 por la Oficina del Inspector General (OIG) de USPS, los auditores encontraron una serie de deficiencias de autenticación y cifrado en el servicio. Pero parecían haber pasado por alto este problema de seguridad bastante evidente. El USPS le dijo a la OIG que había abordado los problemas de autenticación planteados en el informe de auditoría, que parecen estar relacionados con la forma en que se cifraron los datos en tránsito.
Fuentes:
https://krebsonsecurity.com/2018/11/usps-site-exposed-data-on-60-million-users/
Un investigador que desaa permanecer en el anonimato descubrió el problema, El investigador dijo que informó al USPS sobre su descubrimiento hace más de un año, pero que nunca recibió una respuesta.
El problema surgió de una debilidad de autenticación en un componente web de USPS conocido como una "interfaz de programa de aplicación" o API, básicamente, un conjunto de herramientas que definen cómo varias partes de una aplicación en línea, como las bases de datos y las páginas web, deben interactuar entre sí.
La API en cuestión estaba vinculada a una iniciativa del Servicio Postal llamada "Visibilidad Informada", que según USPS está diseñada para permitir que las empresas, los anunciantes y otros remitentes de correo masivo "tomen mejores decisiones empresariales al proporcionarles acceso a seguimiento casi en tiempo real datos ”sobre campañas y paquetes de correo.
la API debería haber validado que la cuenta que realizó la solicitud tenía permiso para leer los datos solicitados. No parece que las contraseñas de las cuentas de USPS fueron expuestas a través de esta API
- https://krebsonsecurity.com/wp-content/uploads/2018/11/USPS-ID-API.txt
- https://iv.usps.com/dist/services/ivui_mt.app.services.js
Consultas con comodín
Además de exponer datos casi en tiempo real sobre los paquetes y el correo que envían los clientes comerciales de USPS, el fallo permitía a cualquier usuario registrado de usps.com consultar el sistema para obtener detalles de la cuenta que pertenezcan a otros usuarios, como la dirección de correo electrónico, el nombre de usuario, ID de usuario, número de cuenta, dirección, número de teléfono, usuarios autorizados, datos de campañas de correo y otra información.
Muchas de las características de la API aceptaron los parámetros de búsqueda "comodín", lo que significa que se podrían hacer para devolver todos los registros de un conjunto de datos determinado sin la necesidad de buscar términos específicos. No se necesitaron herramientas especiales de hacking para extraer estos datos, aparte del conocimiento sobre cómo ver y modificar los elementos de datos procesados por un navegador web normal como Chrome o Firefox.
La capacidad de modificar las entradas de la base de datos relacionadas con las cuentas de usuario de Visibilidad Informada podría crear problemas para los clientes más grandes de USPS; piense en compañías como Netflix y otras que obtienen tarifas de descuento por grandes volúmenes. Por ejemplo, la API permitió a cualquier usuario convertir cuentas normales de usps.com a cuentas comerciales de Visibilidad Informada, y viceversa.
De acuerdo con una evaluación de vulnerabilidad informada de la Visibilidad Informada (PDF) publicada en octubre de 2018 por la Oficina del Inspector General (OIG) de USPS, los auditores encontraron una serie de deficiencias de autenticación y cifrado en el servicio. Pero parecían haber pasado por alto este problema de seguridad bastante evidente. El USPS le dijo a la OIG que había abordado los problemas de autenticación planteados en el informe de auditoría, que parecen estar relacionados con la forma en que se cifraron los datos en tránsito.
Fuentes:
https://krebsonsecurity.com/2018/11/usps-site-exposed-data-on-60-million-users/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.