Il servizio postale degli Stati Uniti afferma che è stato risolto un problema di sicurezza su usps.com che consentiva a chiunque di vedere le informazioni personali dei propri utenti, inclusi nomi utente e indirizzi. La vulnerabilità è stata identificata circa un anno fa da un ricercatore indipendente, ma l’USPS non ha mai applicato patch fino a questa settimana, quando Krebs on Security ha segnalato il problema.
La vulnerabilità includeva tutti i 60 milioni di account degli utenti sul sito web. È stato causato da una falla trovata nel modulo dell’autenticazione nell’interfaccia di programmazione dell’applicazione (API) del sito, che consentiva a chiunque di accedere a un database USPS offerto alle aziende e agli inserzionisti per tenere traccia dei dati e dei pacchetti degli utenti. L’API avrebbe dovuto verificare le autorizzazioni per leggere i dati dell’utente, ma USPS non disponeva di tali controlli di sicurezza.
I dati personali degli utenti, tra cui e-mail, numeri di telefono, dati delle campagne postali, sono stati tutti esposti a chiunque abbia effettuato l’accesso al sito. Inoltre, qualsiasi utente può richiedere modifiche all’account per un altro utente, in modo da modificarne l’indirizzo email e il numero di telefono
. Anche se USPS invia almeno un’email di conferma per confermare le modifiche.
Poiché gli indirizzi stradali sono ricercabili tramite il database, qualsiasi utente connesso poteva ottenere i dati di più persone nella stessa famiglia. Krebs nota che, a causa della vulnerabilità, “non erano necessari speciali strumenti di hacking per estrarre questi dati”.
USPS ha dichiarato inoltre in un’intervista a Krebs: “Qualsiasi informazione che suggerisca ai criminali di aver tentato di sfruttare le potenziali vulnerabilità nella nostra rete è presa molto seriamente. Per prudenza, il servizio postale sta indagando ulteriormente per garantire che chiunque abbia cercato di accedere ai nostri sistemi in modo inappropriato venga perseguito nella massima misura possibile. ” Finora, non sono stati fatti exploit noti attraverso questa vulnerabilità.
Ma la società non è nuova nel settore, nel 2014, un hacker riuscì a visionare 800.000 file privati dei dipendenti USPS, con un record di 2,9 milioni di richieste di assistenza.