Die US-Post hatte auf ihrer Webseite usps.com ein Sicherheitsleck, so dass potentielle Angreifer die Daten von 60 Millionen Nutzern hätten abgreifen können.
Anzeige
Brian Krebs hat hier die Informationen in einem Artikel zusammen gefasst, nachdem ein Sicherheitsforscher ihn kontaktierte. Der Sicherheitsforscher hatte die US-Post vor einem Jahr auf die Schwachstelle aufmerksam gemacht, ohne das etwas passierte. Erst als die US-Post von Krebs kontaktiert wurde, haben die die Sicherheitslücke geschlossen.
Das Problem lag wohl in einer API, die an Postdienst-Initiative namens "Informed Visibility" gebunden ist. Laut US-Post (USPS) zielt die Funktion darauf ab, Unternehmen, Werbetreibenden und anderen Massenversendern "bessere Geschäftsentscheidungen zu ermöglichen, indem sie ihnen Zugang zu nahezu Echtzeit-Tracking-Daten" über Mail-Kampagnen und -Pakete bietet.
Viele der Funktionen dieser API akzeptierten aber "Wildcard"-Suchparameter, so dass sich ein Benutzer Daten über Pakete und E-Mail-Adressen anderer Kunden ziehen konnte. Die Schwachstelle ermöglichte daher jedem angemeldeten usps.com-Benutzer das System nach Kontodaten anderer Benutzer abzufragen. Zurückgegeben wurden Daten wie E-Mail-Adresse, Benutzername, Benutzer-ID, Kontonummer, Straßenadresse, Telefonnummer, autorisierte Benutzer, Mailing-Kampagnendaten und andere Informationen.
Anzeige
Ja "America is great" aber wenigstens die "Post" in Amerika lässt sich irgendwann Belehren wenn der richtige es tut (in diesem Fall Herr Krebs). Aber es gibt immer noch genug unbelehrbare, in der IT wie auch in anderen Bereichen.