رفع آسیب پذیری خدمات پستی ایالات متحده
به گزارش کارگروه امنیت سایبربان، به نقل از «digitaltrends»؛ خدمات پستی ایالات متحده (USPS)، نقص امنیتی موجود در وبگاه «USPS.com» را بر طرف کرد. نقص های مورد بحث به کاربران این وبگاه اجازه می داد تا اطلاعات و جزئیات حساب 60 میلیون عضو دیگر را مشاهده کنند. در بعضی از موارد، این شکاف ها حتی تغییرات در حساب های کاربری را نیز امکان پذیر می ساختند.
برایان کربس (Brian Krebs)، متخصص امنیتی، در پستی در وب سایت خویش ذکر کرد که اخیرا یک محقق با وی تماس گرفته و ادعا کرد که در سال گذشته به خدمات پستی درباره نقص های یاد شده، هشدار داده است؛ اما پس از اینکه هیچ پاسخی از شرکت دریافت نشد، با کربس ارتباط برقرار نمود. سپس کربس معایب امنیتی را با خدمات پستی در میان گذاشت. در پاسخ، آن ها ذکر کردند که اکنون باگ های موجود را اصلاح کرده اند.
یک سخنگوی خدمات پستی در پاسخ به این پرسش که چرا ظاهرا یک سال مواجهه با نقایص به طول انجامیده است، ذکر کرد:
قادر به اثبات ادعایی که آن محقق در سال گذشته کرد، نبوده ایم.
کربس توضیح داد که باگ یادشده مربوط به یک آسیب پذیری احراز هویت در رابط کاربردی برنامه نویسی (API) سایت «USPS.com» بود که به یکی از خدمات «USPS» به نام رؤیت آگاهانه (Informed Visibility) متصل است. این خدمت به تجارت ها، مبلغان و دیگر فرستندگان بزرگ ایمیل، دسترسی به ردیابی اطلاعات کمپین های ایمیل و بسته های خود را تقریبا بی درنگ فراهم می کند.
علاوه بر افشای داده های تقریبا بی درنگ در مورد بسته ها و پست های الکترونیکی ارسال شده توسط مشتریان تجاری خدمات پستی ایالات متحده، کربس از تأثیرات دیگری نیز نام برد. وی توضیح داد که آسیب پذیری ذکر شده، به هر کاربر وارد شده در وبگاه، اجازه می دهد تا سامانه را برای جزئیات حساب های دیگر کاربران، جستجو کند. این جزئیات شامل نشانی ایمیل، نام کاربری، شناسه کاربر، شماره حساب، آدرس خیابان، شماره تلفن، کاربران مجاز، داده های کمپین های پستی و دیگر اطلاعات می شود.
امکان تغییرات اطلاعات نام برده نیز وجود داشت؛ گرچه کربس اشاره کرد که برای برخی از زمینه های داده، یک مرحله ی اعتبار سنجی، مانند ارسال پیام تایید به نشانی ایمیل مربوط به حساب، مانع از ایجاد تغییرات شده است.
پژوهشگر امنیتی، کربس در نشان دادن جدیت نقص ها اظهار کرد:
استخراج داده ها، نیاز به هیچ ابزار هک خاصی نداشت؛ فقط نیازمند دانش چگونگی نمایش و اصلاح مولفه های داده ی پردازش شده توسط یک مرورگر وب معمولی مانند کروم، یا فایرفاکس بود.
کسانی که دانش کافی داشتند، با اجرای جستجوی ساده یک آدرس خیابان، قادر به دسترسی به اطلاعاتی در مورد این که چه کسانی در آن محله زندگی می کنند، بودند.
در بیانیه ای که خدمات پستی به تازگی منتشر کرد آمده است:
هرگونه اطلاعاتی که نشان دهد مجرمان از آسیب پذیری های مستعد در شبکه ی ما سوءاستفاده می کنند، بسیار جدی گرفته می شود. به عنوان اقدام احتیاطی، خدمات پستی بررسی های بیشتر انجام می دهد. این بررسی ها به منظور حصول اطمینان از پیگیری کامل قانونی افرادی است که به طور ناشایست برای دسترسی به سامانه های ما تلاش کرده اند.
خدمات پستی ایالات متحده افزود که در حال حاضر، مدرکی مبنی بر هرگونه سوءاستفاده از سوابق مشتریان، وجود ندارد.