60 millió fő adatai voltak veszélyben az amerikai postánál

2018.11.23. 18:07

A lakcímeiket és a telefonszámaikat is ki lehetett lopni a webhelyéről.

Örülhet az USA állami postaszolgálata, hogy nem vonatkozik rá a híres-hírhedt GDPR. A Krebs on Security beszámolója alapján az USPS webhelyének egy amatőr tervezési hibája miatt jó egy éven keresztül 60 millió regisztrált felhasználó adatai voltak kilophatóak a webhelyéről, többek közt a regisztrált felhasználók nevei, e-mail-címei, lakcímei és telefonszámai.

Forrás: Shutterstock

A webhely sérülékenysége az Informed Visibility nevű kezdeményezéshez kapcsolódott, amelyet a küldeményeik követésére használhatnak a tömegesen leveleket küldözgető vállalkozások. Emellett egyes adatok megváltoztatására is lehetőséget biztosított a hiba, bár például a jelszóváltoztatási kérelmekről mindig kapnak megerősítő e-mailt a regisztrált felhasználók, így a fiókjaikból nem lehetett volna észrevétlenül kizárni őket.

A posta weblapja egyszerűen nem ellenőrizte, hogy az éppen bejelentkezett felhasználónak van-e joga hozzáférni a kérdéses programozási felületekhez.

A hibát egy anonimitást kérő biztonsági kutató fedezte fel, azonban hiába jelentette egy éve a postának, az válaszra sem méltatta, és persze a probléma javítása sem történt meg. Az USPS nemrég pont auditáltatta a webhelyét, de ezt a problémát nem fedezték fel az ellenőrzést elvégzett biztonsági kutatók.

Az USPS csak azután javította a sérülékenységet, hogy az eredeti felfedezője felkereste a Krebs on Securityt, miszerint talán jó ötlet volna kiborítani a bilit.

A posta vizsgálja, hogy vajon visszaéltek-e rosszindulatúan a hibával. Ha erre bizonyítékot talál, akkor a rendőrséghez fordul.

TOVÁBBI CIKKEK A ROVATBÓL

Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!