美国邮政服务系统刚刚修复了一个严重的网站漏洞,该漏洞使得拥有usps.com帐户的任何人都可查看和修改约6000万用户的账户详情。
美国邮政服务网站漏洞可暴露6000万用户数据
漏洞解构
该漏洞源于USPS Web组件中的身份验证API,根据USPS的说法,基于该API构建的”通知可见“功能可为企业、广告商和其他批量邮件发件人提供几乎实时的数据跟踪和获取能力,以“做出更好的业务决策”。
该漏洞除了公开USPS商业客户发送的包裹和邮件实时数据外,还允许任何登录usps.com的用户向系统查询其他用户的帐户详情,例如电子邮件地址、用户名、ID、帐号、街道地址、 *** 号码、授权用户、邮寄活动数据和其他信息。
与API相关的功能均支持“通配符”搜索参数,也就是说它们可以返回给定数据集的所有记录,而无需搜索特定术语。除了需要了解如何查看和修改由Chrome或Firefox等常规Web浏览器处理的数据元素之外,无需特殊的黑客工具来提取这些数据。
美国邮政服务网站漏洞可暴露6000万用户数据
USPS宣传册,宣传”通知可见服务“的优势和好处
如果多个帐户共享一个公共数据元素(例如街道地址),则使用该API进行搜索会显示多个记录,这样一来就可以对其他用户的信息进行查看、修改等操作。
影响
通过“通知可见”API获得对帐户相关数据库条目的修改能力,可能会给USPS的大客户带来问题,试想一下像Netflix这样的公司以及其他需要大批量发送邮件的客户,要是API允许任何用户将常规usps.com帐户转换为Informed Visibility业务帐户,中间损失的费用怎么算。此外,这也会给垃圾邮件发送者和电子邮件诈骗者提供可趁之机,很容易被用来构建大规模针对性垃圾邮件攻击或鱼叉式 *** 钓鱼。
11月29日,OPPO技术开放日第六期在成都1906创意工厂-A11举行。本期活动以"应用与数据安全防护"为主题,聚焦密钥、恶意行为检测等移动应用背后的安全技术,分享OPPO在安全领域的最新技术成果与...
iPhone苹果手机数据怎么恢复呢?如何利用iTunes备份或恢复苹果手机数据呢?以下将与大家分享一下苹果手机数据恢复的具体方法。 一、利用iTunes备份iPhone数据 1.连上iPhone手...
此前有媒体爆出陌陌上3000万的数据正在暗网以50美元价格出售。也就是说,300余元就可以购买千万级的个人信息。随后,陌陌公司方面正式回应,表示这些数据是三年前黑客通过撞库获得的。陌陌方面称,陌陌采用...
中国天气网讯 今天(7月6日)将正式进入小暑节气,俗话说“小暑大暑,上蒸下煮”,小暑节气的到来意味着天气会更加闷热。中国天气网特别盘点了历史上小暑期间的“热霸”,这些地方是否高温天天见?最热能有多热?...
据金盾榜组委会最新消息,2020金盾榜已尘埃落定,共有400家企业上榜,榜单将于2020年11月20日在江苏常州的“第四届暖通空调及舒适智能渠道商大会(HCSC大会)”期间进行正式发布。 金盾榜...
学习SEO优化的时候,重点是学会SEO分析,因为SEO分析与我们在做SEO的思路紧密结合。竞争对手分析、网站数据分析、总体网站分析等都与自己的网站排名以及收录有相关性。下面的几个关于SEO数据分析的,...