Comunidad de ciberseguridad
Vendemos ebooks,programas y cursos.
EU-serviciopostal

DATOS DE 60 MILLONES DE USUARIOS FUERON EXPUESTOS POR EL SERVICIO POSTAL DE EU

Dale like si te gusta!
  • Yum

La vulnerabilidad persistió en el sitio web del servicio postal por casi un año

Especialistas en forense digital y ciberseguridad del Instituto Internacional de Seguridad Cibernética informan que el Servicio Postal de Estados Unidos ha corregido una vulnerabilidad de seguridad calificada como crítica, debido a la cual fueron expuestos los datos de más de 60 millones de usuarios que estén registrados en el sitio web usps.com.

El Servicio Postal de EU es una agencia independiente del gobierno federal. Esta oficina es responsable de administrar y proporcionar el servicio de correos en todo Estados Unidos, además es una de las pocas agencias gubernamentales mencionadas explícitamente en la Constitución de los Estados Unidos.

Según reportes de expertos en forense digital, la falla está vinculada a una debilidad de autenticación en una interfaz de programación de aplicaciones (API) para el programa de “Visibilidad Informada” del servicio postal,  diseñado para ayudar a los clientes comerciales a rastrear sus envíos en tiempo real.

De acuerdo con los investigadores que revelaron el incidente de seguridad, la API en cuestión fue programada para aceptar cualquier número de parámetros de búsqueda “comodines”, lo que permitió a cualquier usuario registrado en usps.com realizar consultas en el sistema para obtener detalles de cuentas pertenecientes a otros usuarios.

Dicho de otro modo, un atacante podría haber obtenido las direcciones email, nombres de usuario, ID de usuario, números de cuenta, direcciones, números de teléfono, e información postal de hasta 60 millones de usuarios con cuenta en usps.com.

“Las API se están convirtiendo en un arma de doble filo cuando se trata de conectividad y seguridad B2B a escala de Internet. Las API, cuando son inseguras, rompen la premisa de la conectividad que han ayudado a establecer”, menciona Setu Kulkarni, especialista en forense digital de WhiteHat Security.

El servicio postal encontró la vulnerabilidad casi un año después

La vulnerabilidad de autenticación de la API también permitió a cualquier usuario del servicio postal solicitar cambios de cuenta para otros usuarios, por ejemplo, podían modificar sus direcciones de correo electrónico, números de teléfono u otros detalles sensibles. La peor parte de todo el incidente fue el manejo que el servicio postal le dio a la divulgación de la vulnerabilidad.

Aunque no ha sido confirmado, se cree que los investigadores descubrieron la vulnerabilidad y la reportaron de manera responsable a los funcionarios del servicio postal; sin embargo, la oficina ignoró las advertencias, dejando los datos de los usuarios desprotegidos por casi 12 meses, hasta que un periodista se comunicó con el servicio postal en nombre de los investigadores.

Posteriormente, el servicio de portal corrigió el problema (tarea que sólo les tomó 48 horas), declaró el periodista Brian Krebs.

“Aunque hasta el momento no hay evidencia de que alguien haya explotado la vulnerabilidad, sí se sabe que ésta se mantuvo presente por casi un año, por lo que el panorama es poco alentador”, dijo Paul Bischoff, activista por los derechos digitales.

Por su parte, el Servicio Postal declaró:

“Hasta el momento no contamos con información que confirme que la vulnerabilidad haya sido explotada.

El Servicio Postal continúa investigando el incidente para garantizar que cualquier usuario malicioso sea presentado ante las autoridades”.

Tambien te puede gustar

Comparte si te gusta
  • 1
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
    1
    Share

Etiquetas: ,

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

* Se requiere casilla de verificación RGPD

*

Estoy de acuerdo