El fallo de seguridad que ha estado abierto durante más de un año, según un investigador anónimo que descubrió el problema, contactó con Krebs on Security, una firma de ciberseguridad a principios de octubre y ésta consiguió contactar con USPS después de los fallidos intentos del investigador.
La vulnerabilidad estaba relacionada con una API de la web de USPS, ligada a una iniciativa llamada ‘Visibilidad Informada’, una función que ofrecía información en tiempo real de las cartas y del seguimiento de los paquetes enviados por los usuarios y permitía “mejorar la facilidad de uso a través del aprovisionamiento y delegación flexible de los datos”, explican desde el servicio de correos.
La vulnerabilidad permitía acceder a datos personales
Además de la información de los envíos, el fallo de seguridad permitía obtener detalles de las cuentas, entre los que se encontraban datos como la dirección de correo electrónico, el nombre de usuario, su documento de identidad, el número de cuenta, el teléfono o la dirección, entre otros. Y también permitía la modificación de la información.
Según la firma de ciberseguridad Krebs on Security, no se necesitaban herramientas de piratería para acceder a los datos de los 60 millones de cuentas de usuario registrados en usps.com sino que cualquier usuario registrado podía hacerlo. “Muchas de las aplicaciones de la interfaz aceptaron caracteres ‘comodín’ para las búsquedas”, explican. Con estos parámetros se ha podido obtener información sobre un conjunto determinado de datos sin realizar una búsqueda específica, solo con “saber cómo ver y modificar los datos procesados por un navegador”.
Si (
No(
