Postřehy z bezpečnosti: netradiční služba americké pošty

[3 minuty čtení] Dnes se podíváme na velmi nekonvenční službu „poskytovanou“ na webu americké pošty, na zajímavý a netradiční způsob řízení botnetu a s blížícím se koncem roku zkusíme začít i trochu sumarizovat a predikovat. Americká pošta „poskytovala“ po více než rok na svých stránkách usps.com velmi netradiční „službu“. V důsledku chyby mohl jakýkoliv uživatel s platným účtem získat přístup k informacím o libovolném uživateli. Chyba se nacházela v API submodulu na sledování zásilek v reálném čase a spočívala mimo jiné v přítomnosti celé řady wildcard vyhledávacích parametrů, které v kombinaci s chybou v autentizaci ve výsledku dovolily zobrazit velmi citlivé informace jako jméno, adresa, telefon, číslo účtu a další data o kterémkoliv ze 60 milionů uživatelů. A ukázalo se, že bohužel nejen zobrazit, ale zmíněné API umožňovalo i požádat o změnu těchto údajů, např. emailu, nebo doručovací adresy.