美国邮政服务网站漏洞可暴露6000万用户数据,现已修复

前言

美国邮政服务系统刚刚修复了一个严重的网站漏洞,该漏洞使得拥有usps.com帐户的任何人都可查看和修改约6000万用户的账户详情。

漏洞解构

该漏洞源于USPS Web组件中的身份验证API,根据USPS的说法,基于该API构建的”通知可见“功能可为企业、广告商和其他批量邮件发件人提供几乎实时的数据跟踪和获取能力,以“做出更好的业务决策”。

该漏洞除了公开USPS商业客户发送的包裹和邮件实时数据外,还允许任何登录usps.com的用户向系统查询其他用户的帐户详情,例如电子邮件地址、用户名、ID、帐号、街道地址、电话号码、授权用户、邮寄活动数据和其他信息。

与API相关的功能均支持“通配符”搜索参数,也就是说它们可以返回给定数据集的所有记录,而无需搜索特定术语。除了需要了解如何查看和修改由Chrome或Firefox等常规Web浏览器处理的数据元素之外,无需特殊的黑客工具来提取这些数据。

USPS宣传册,宣传”通知可见服务“的优势和好处

如果多个帐户共享一个公共数据元素(例如街道地址),则使用该API进行搜索会显示多个记录,这样一来就可以对其他用户的信息进行查看、修改等操作。

影响

通过“通知可见”API获得对帐户相关数据库条目的修改能力,可能会给USPS的大客户带来问题,试想一下像Netflix这样的公司以及其他需要大批量发送邮件的客户,要是API允许任何用户将常规usps.com帐户转换为Informed Visibility业务帐户,中间损失的费用怎么算。此外,这也会给垃圾邮件发送者和电子邮件诈骗者提供可趁之机,很容易被用来构建大规模针对性垃圾邮件攻击或鱼叉式网络钓鱼。

*参考来源:krebsonsecurity,Freddy编译整理,转载请注明来自 FreeBuf.COM。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-11-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏finleyMa

6月推荐网站

sourcegraph 装了chrome扩展之后,比如在github上分析源码的好伙伴。提供定义跳转,引用及搜索等功能。

1054
来自专栏Java学习网

测试是浪费时间,我的程序肯定没问题

测试是浪费时间,我的程序肯定没问题 尽管关于测试驱动开发(TDD)的书和文章有成百上千之多,仍然有很多人从未感受过测试的强大力量。 之所以不愿意去写测试程序不...

2565
来自专栏全华班

基于PHP爬虫的博客小程序

小程序后端是基于 Wext-server-thinkphp3.2 实现的数据爬虫,使用 ThinkPHP3.2 框架开发。Wext-server-thinkph...

2991
来自专栏web

vue项目在移动端(手机)调试

1252
来自专栏更流畅、简洁的软件开发方式

论程序的成长—— 你写的代码有生命力吗?

做了五年多的程序员了,回过头来看了看以前发的一些帖子,颇有一番感想。 我最得意的就是对数据访问的处理方法(我的数据访问层),倒不是说他有多么的强大、多么的完善,...

2076
来自专栏腾讯架构师的专栏

多核处理器下数据库系统日志管理器优化技术探讨

传统数据库的设计假设磁盘为主要存储设备,其性能取决于基于I/O代价模型的优化。然而,当前数据库运行的平台已逐渐转移到由多核处理器、大内存和以闪存为代表的低延迟存...

2391
来自专栏CDN及云技术分享

我是怎么一步步用go找出压测性能瓶颈

笔者要在线上服务器load日志并且重放来测一些机器性能指标。模拟机器资源比较少,相对的被模拟的线上机器日志量大,假设线上单机qps有1w,那么5台机器组成的集群...

1.8K35
来自专栏chafezhou

小说python操作PLC

PLC(Programmable Logic Controller)可编程逻辑控制器,可以理解为一个微型计算机,广泛应用于工业控制中,如楼宇智控、精密机床、汽车...

1.5K2
来自专栏樊华恒的专栏

海量之道系列文章之弱联网优化 (五)

在客户端接入服务器调度策略的演化过程中,我们最早采用了“就近接入”的策略,在距离客户端更近的地方部署服务器或使用CDN,期望通过减少RTT来提高网络交互响应性能...

6200
来自专栏大愚Talk

为什么要用Redis

最近阅读了《Redis开发与运维》,非常不错。这里对书中的知识整理一下,方便自己回顾一下Redis的整个体系,来对相关知识点查漏补缺。

2442

扫码关注云+社区

领取腾讯云代金券