www.zonamovilidad.es
USPS soluciona la vulnerabilidad que dejaba al descubierto datos de 60 millones de usuarios
Ampliar

USPS soluciona la vulnerabilidad que dejaba al descubierto datos de 60 millones de usuarios

lunes 26 de noviembre de 2018, 19:30h

google+

linkedin

Comentar

WhatsApp

  • Compartir en Meneame

El servicio de correos de Estados Unidos ha solucionado una vulnerabilidad en una API en su web por la que cualquier usuario registrado podría acceder a datos personales y de pedidos de los 60 millones de cuentas registradas.

El fallo de seguridad que ha estado abierto durante más de un año, según un investigador anónimo que descubrió el problema, contactó con Krebs on Security, una firma de ciberseguridad a principios de octubre y ésta consiguió contactar con USPS después de los fallidos intentos del investigador.

La vulnerabilidad estaba relacionada con una API de la web de USPS, ligada a una iniciativa llamada ‘Visibilidad Informada’, una función que ofrecía información en tiempo real de las cartas y del seguimiento de los paquetes enviados por los usuarios y permitía “mejorar la facilidad de uso a través del aprovisionamiento y delegación flexible de los datos”, explican desde el servicio de correos.

La vulnerabilidad permitía acceder a datos personales

Además de la información de los envíos, el fallo de seguridad permitía obtener detalles de las cuentas, entre los que se encontraban datos como la dirección de correo electrónico, el nombre de usuario, su documento de identidad, el número de cuenta, el teléfono o la dirección, entre otros. Y también permitía la modificación de la información.

Según la firma de ciberseguridad Krebs on Security, no se necesitaban herramientas de piratería para acceder a los datos de los 60 millones de cuentas de usuario registrados en usps.com sino que cualquier usuario registrado podía hacerlo. “Muchas de las aplicaciones de la interfaz aceptaron caracteres ‘comodín’ para las búsquedas”, explican. Con estos parámetros se ha podido obtener información sobre un conjunto determinado de datos sin realizar una búsqueda específica, solo con “saber cómo ver y modificar los datos procesados por un navegador”.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)
  • Compartir en Meneame

+

0 comentarios