توضيح التشفير
قامت خدمة بريد الولايات المتحدة (USPS) بإصلاح واجهة برمجة التطبيقات (API) المعطلة التي كشفت تفاصيل حساب 60 مليون مستخدم قاموا بالتسجيل في خدمة 'التسليم المستنير'.
التسليم المستنير هو خدمة جديدة توفرها USPS والتي يمكن للأشخاص من خلالها مشاهدة الصور الممسوحة ضوئيًا لجميع رسائل البريد الواردة. يتم إرسال الصور قبل تسليم البريد بالفعل من قبل الشركة. يمكن للأشخاص تتبع رسائل البريد الخاصة بهم ومعرفة ما إذا كان أي بريد مهم سيصل اليوم أم لا.
سمح الخلل الأمني لأي شخص لديه حساب في U sps لعرض تفاصيل المستخدمين المسجلين الآخرين للخدمة وحتى تغيير تفاصيل هؤلاء المستخدمين.
تم الكشف عن الخلل لأول مرة بواسطة أ الباحث في العام الماضي عندما تمكن من استخراج بيانات المستخدمين عن طريق إرسال الطلبات إلى الخادم. حاول الباحث الاتصال بـ USPS عدة مرات لإخبارهم عن الخلل الأمني ، ولكن دون جدوى. أظهر الباحث أنه عندما أرسلت أحرف البدل إلى الخوادم ، فقد قبلت معظمها بالسماح للآخرين بالاطلاع على تفاصيل أصحاب الحسابات.
أخصائي أمن بريان كريبس قال إن أي مستخدم قام بتسجيل الدخول لـ USPS كان قادرًا على البحث عن تفاصيل حساب المستخدمين الآخرين لـ USPS. يمكن الوصول بسهولة إلى تفاصيل الحساب مثل رقم الحساب واسم المستخدم وعنوان البريد الإلكتروني ومعرف المستخدم ورقم الهاتف وبيانات الحملة البريدية والعنوان وغيرها من المعلومات. ومع ذلك ، لا يمكن إجراء تغييرات في البيانات على بعض الحقول حيث كانت هناك خطوة تحقق مرتبطة بهذه الحقول لتغيير البيانات.
وفقًا لكريبس ، كان هناك عيب أمني ضخم من USPS حيث لم تكن هناك خبرة قرصنة حقيقية مطلوبة للوصول إلى البيانات. سيتمكن أي شخص لديه المعرفة الأساسية لعرض العناصر وتعديلها باستخدام المستعرض من الوصول إلى تفاصيل الحساب. ذكرت USPS أنها لم تتلق حتى الآن أي دليل يشير إلى وجود أي استغلال لأي تفاصيل حساب لمستخدميها.
العلامات البيانات الأمان
