Американская почта скомпрометировала данные 60 млн клиентов

Данные десятков миллионов пользователей почтового агентства США (USPS) долгое время оставались доступными из-за ошибки в программном интерфейсе приложения, передает Engadget со ссылкой на блог Krebs on Security.

Опасная уязвимость была выявлена в API программы Informed Visibility для отслеживания отправлений. Больше года назад о проблеме сообщил пожелавший остаться неизвестным исследователь безопасности, заявил журналист Брайан Кребс (Brian Krebs). Тогда USPS никак не отреагировала на обращение. Недавно Кребс сам решил достучаться до почтовой службы, и на этот раз ее представители откликнулись на сигнал эксперта.

Дыра в системе безопасности возникла из-за ошибок в программировании API: он был настроен таким образом, что можно было легко подставить различные параметры поиска и узнать информацию о любом клиенте почты. Эксплуатация уязвимости позволяла уточнить имя пользователя, номер счета, адрес и телефонный номер.

Исследователь Международного университета компьютерных наук Николас Вивер (Nickolas Weaver) назвал «катастрофически плохим» уровень контроля доступа в USPS. «Кажется, единственное, что они контролировали, был вход в систему»,  - иронизирует специалист.

Судя по всему, технические специалисты USPS в среду, 21 ноября, применили патч, позволивший устранить уязвимость API.

Федеральное почтовое агентство обслуживает все 155 млн адресатов США: домохозяйства, предприятия и абонентские ящики. Число отделений составляет 31,6 тыс. Штатная численность сотрудников превышает полмиллиона человек. USPS считается крупнейшим работодателем США после Министерства обороны и торговой компании Walmart.