Kekurangan Kritikal Dalam Laman Web USPS yang Berisiko Mengenai Jutaan Pengguna

Ilustrasi Penyulitan

Perkhidmatan Pos Amerika Syarikat (USPS) telah memperbaiki APInya yang rusak yang telah mendedahkan perincian akaun 60 juta pengguna yang telah mendaftar untuk perkhidmatan 'Pengiriman Berinformasi'.

Penghantaran Berinformasi adalah perkhidmatan baru yang disediakan oleh USPS di mana orang dapat melihat gambar yang dipindai dari semua surat masuk mereka. Gambar dihantar sebelum surat dihantar oleh syarikat. Orang ramai dapat mengawasi surat mereka dan mengetahui terlebih dahulu sama ada sebarang surat penting akan dihantar hari ini atau tidak.

Kekurangan keselamatan membolehkan sesiapa sahaja mempunyai akaun di U sps untuk melihat perincian pengguna perkhidmatan lain yang berdaftar dan bahkan mengubah perincian pengguna tersebut.

Kecacatan pertama kali didedahkan oleh a penyelidik tahun lalu ketika dia dapat mengekstrak data pengguna dengan mengirim permintaan ke pelayan. Penyelidik cuba menghubungi USPS beberapa kali untuk memberitahu mereka mengenai kekurangan keselamatan, tetapi semuanya sia-sia. Pengkaji menunjukkan bahawa semasa anda menghantar kad liar ke pelayan, kebanyakan mereka membenarkan orang lain melihat perincian pemegang akaun.

Pakar keselamatan Brian Krebs mengatakan bahawa mana-mana pengguna USPS yang log masuk dapat mencari maklumat akaun pengguna USPS yang lain. Perincian akaun seperti nombor akaun, nama pengguna, alamat e-mel, ID pengguna, nombor telefon, data kempen surat, alamat, dan maklumat lain mudah diakses. Namun, perubahan data tidak dapat dilakukan pada beberapa bidang karena ada langkah pengesahan yang terkait dengan bidang tersebut untuk mengubah data.

Menurut Krebs, terdapat kelemahan keselamatan yang besar dari USPS kerana tidak ada kepakaran peretasan sebenar yang diperlukan untuk mendapatkan akses ke data. Sesiapa yang mempunyai pengetahuan asas untuk melihat dan mengubah elemen menggunakan penyemak imbas akan dapat mengakses maklumat akaun. USPS menyatakan bahawa mereka hingga kini tidak menerima bukti yang menunjukkan bahawa ada eksploitasi perincian akaun penggunanya.