专栏首页FreeBuf美国邮政服务网站漏洞可暴露6000万用户数据,现已修复

美国邮政服务网站漏洞可暴露6000万用户数据,现已修复

前言

美国邮政服务系统刚刚修复了一个严重的网站漏洞,该漏洞使得拥有usps.com帐户的任何人都可查看和修改约6000万用户的账户详情。

漏洞解构

该漏洞源于USPS Web组件中的身份验证API,根据USPS的说法,基于该API构建的”通知可见“功能可为企业、广告商和其他批量邮件发件人提供几乎实时的数据跟踪和获取能力,以“做出更好的业务决策”。

该漏洞除了公开USPS商业客户发送的包裹和邮件实时数据外,还允许任何登录usps.com的用户向系统查询其他用户的帐户详情,例如电子邮件地址、用户名、ID、帐号、街道地址、电话号码、授权用户、邮寄活动数据和其他信息。

与API相关的功能均支持“通配符”搜索参数,也就是说它们可以返回给定数据集的所有记录,而无需搜索特定术语。除了需要了解如何查看和修改由Chrome或Firefox等常规Web浏览器处理的数据元素之外,无需特殊的黑客工具来提取这些数据。

USPS宣传册,宣传”通知可见服务“的优势和好处

如果多个帐户共享一个公共数据元素(例如街道地址),则使用该API进行搜索会显示多个记录,这样一来就可以对其他用户的信息进行查看、修改等操作。

影响

通过“通知可见”API获得对帐户相关数据库条目的修改能力,可能会给USPS的大客户带来问题,试想一下像Netflix这样的公司以及其他需要大批量发送邮件的客户,要是API允许任何用户将常规usps.com帐户转换为Informed Visibility业务帐户,中间损失的费用怎么算。此外,这也会给垃圾邮件发送者和电子邮件诈骗者提供可趁之机,很容易被用来构建大规模针对性垃圾邮件攻击或鱼叉式网络钓鱼。

*参考来源:krebsonsecurity,Freddy编译整理,转载请注明来自 FreeBuf.COM。

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-11-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • WinRAR 0day漏洞 (附利用过程)

    英国安全机构Mohammad Reza Espargham的漏洞实验室发现,流行压缩工具WinRAR 5.21最新版里存在一个安全漏洞,目前该漏洞还属于零日漏洞...

    FB客服
  • Linux中的Stack Clash漏洞,可被黑客利用获取本地root权限

    上个月,Qualys的安全研究人员在多种基于Unix的系统上发现名为“Stack Clash”的漏洞,该漏洞能让攻击者在UNIX系统上获得root权限,并接管这...

    FB客服
  • 黑客正在利用Firefox的0day漏洞攻击Tor用户(含Exploit)

    根据最新的消息,安全研究专家发现了一个0day漏洞,攻击者或可利用该漏洞在Tor和Firefox浏览器用户的计算机中执行恶意代码。 ? 就在几天前,Tor官网上...

    FB客服
  • LoRaServer 笔记 2.6 WebUI 中 Rest API 的调用逻辑分析

    应用如何根据 LoRa App Server 提供的北向 API 进行开发呢? 那么多的 API 都是怎么使用,这篇笔记梳理了主要API的调用逻辑。

    twowinter
  • 项目中遇到mybatis配置多数据源的坑

    前一阵子在项目中遇到了一个mybatis配置多数据源的坑,调试源码后解决该问题,总的来说,还是对mybatis的熟悉度不够,故踩了这个坑。

    奕仁
  • 简便的植物小RNA分析神器psRNATARGET

    小RNA在基因表达调控中扮演着重要的角色。一直以来都是研究的热点之一,生信宝典在2017年曾推荐中科院遗传所王秀杰老师组的Psrobot小RNA分析系统,在这里...

    生信宝典
  • React编程思想

    在我们团队看来,React是使用JavaScript构建大型、快速的Web apps的首选方式。它已经在Facebook和Instagram项目中,表现出了非常...

    司想君
  • React编程思想

    能够按照构建的方式来思考web app的实现,是React众多优点之一。在这篇文章中,我们将引导你进行使用React构建可搜索产品数据表的思考过程。

    司想君
  • Contact Manager Web API 示例[2] Web API Routing

    联系人管理器web API是一个Asp.net web api示例程序,演示了通过ASP.NET Web API 公开联系信息,并允许您添加和删除联系人,示例地...

    张善友
  • 使用 Elasticsearch 的 NGram 分词器处理模糊匹配

    接到一个任务:用 Elasticsearch 实现搜索银行支行名称的功能。大概就是用户输入一截支行名称或拼音首字母,返回相应的支行名称。比如,用户输入"工行"或...

    Venyo

扫码关注云+社区

领取腾讯云代金券