美国邮政服务系统刚刚修复了一个严重的网站漏洞,该漏洞使得拥有usps.com帐户的任何人都可查看和修改约6000万用户的账户详情。
美国邮政服务网站漏洞可暴露6000万用户数据
漏洞解构
该漏洞源于USPS Web组件中的身份验证API,根据USPS的说法,基于该API构建的”通知可见“功能可为企业、广告商和其他批量邮件发件人提供几乎实时的数据跟踪和获取能力,以“做出更好的业务决策”。
该漏洞除了公开USPS商业客户发送的包裹和邮件实时数据外,还允许任何登录usps.com的用户向系统查询其他用户的帐户详情,例如电子邮件地址、用户名、ID、帐号、街道地址、 *** 号码、授权用户、邮寄活动数据和其他信息。
与API相关的功能均支持“通配符”搜索参数,也就是说它们可以返回给定数据集的所有记录,而无需搜索特定术语。除了需要了解如何查看和修改由Chrome或Firefox等常规Web浏览器处理的数据元素之外,无需特殊的黑客工具来提取这些数据。
美国邮政服务网站漏洞可暴露6000万用户数据
USPS宣传册,宣传”通知可见服务“的优势和好处
如果多个帐户共享一个公共数据元素(例如街道地址),则使用该API进行搜索会显示多个记录,这样一来就可以对其他用户的信息进行查看、修改等操作。
影响
通过“通知可见”API获得对帐户相关数据库条目的修改能力,可能会给USPS的大客户带来问题,试想一下像Netflix这样的公司以及其他需要大批量发送邮件的客户,要是API允许任何用户将常规usps.com帐户转换为Informed Visibility业务帐户,中间损失的费用怎么算。此外,这也会给垃圾邮件发送者和电子邮件诈骗者提供可趁之机,很容易被用来构建大规模针对性垃圾邮件攻击或鱼叉式 *** 钓鱼。
MyEtherWallet 发推特说,他们的DNS 被污染,导致部分用户进入到了假的网站,从而导致ETH被盗。...
所谓 “零日漏洞” 的收购商为 Android 漏洞支付的费用比 iOS 还要高,直到最近这都是不可想象的。 零日漏洞收购商 Zerodium 现在为一个 Android 漏洞支付的费用高达 2...
相关说明 本章所讲述的所有黑客技术,均不得用于非法目的。 如果你觉得文章含有侵权部分,可以联系CSDN私聊,我会适当修改。 未经允许,不得转载,如需转载,请CSDN私聊。 前言 每当我们坐在...
DoNews 7月30日消息(记者 安宏)微软Win10发布一天以来问题不断。先是有英媒报道称,Windows 10开始菜单出现新漏洞,若用户下载多于512个应用快捷程序,程序或将缺失。此后,国内...
培训班是军事化管理,平时的上课时间手机不准带进教学区,学员们只有在晚上回到宿舍,才可以给家里打个电话。 刘悦大学毕业后,放弃电力公司的工作,来到“女生当男生使”的特训班。半年下来,刘悦可以连做俯...