美國郵政服務系統剛剛修復了一個嚴重的網站漏洞,該漏洞使得擁有usps.com帳戶的任何人都可查看和修改約6000萬用戶的賬戶詳情。
漏洞解構
該漏洞源於USPS Web組件中的身份驗證API,根據USPS的說法,基於該API構建的”通知可見“功能可為企業、廣告商和其他批量郵件發件人提供幾乎實時的數據跟蹤和獲取能力,以“做出更好的業務決策”。
該漏洞除了公開USPS商業客戶發送的包裹和郵件實時數據外,還允許任何登錄usps.com的用戶向系統查詢其他用戶的帳戶詳情,例如電子郵件地址、用戶名、ID、帳號、街道地址、電話號碼、授權用戶、郵寄活動數據和其他信息。
與API相關的功能均支持“通配符”搜索參數,也就是說它們可以返回給定數據集的所有記錄,而無需搜索特定術語。除了需要了解如何查看和修改由Chrome或Firefox等常規Web瀏覽器處理的數據元素之外,無需特殊的黑客工具來提取這些數據。
USPS宣傳冊,宣傳”通知可見服務“的優勢和好處
如果多個帳戶共享一個公共數據元素(例如街道地址),則使用該API進行搜索會顯示多個記錄,這樣一來就可以對其他用戶的信息進行查看、修改等操作。
影響
通過“通知可見”API獲得對帳戶相關數據庫條目的修改能力,可能會給USPS的大客戶帶來問題,試想一下像Netflix這樣的公司以及其他需要大批量發送郵件的客戶,要是API允許任何用戶將常規usps.com帳戶轉換為Informed Visibility業務帳戶,中間損失的費用怎麼算。此外,這也會給垃圾郵件發送者和電子郵件詐騙者提供可趁之機,很容易被用來構建大規模針對性垃圾郵件攻擊或魚叉式網絡釣魚。
分享到:
閱讀更多 優數據 的文章
