近日,美国邮政署修复了其网站的一个高危漏洞,该漏洞允许任何在usps.com拥有账户的用户查看和修改其他用户的账户信息,约有6000万用户受到影响。
有关该漏洞的消息最初是由知名网络安全记者报道的,发现漏洞的安全研究人员在上周主动联系了他。这位不愿透露姓名的安全研究人员表示,一年多以前就已经向美国邮政服务公司通报了该问题,但从未收到任何回应。安全记者验证了漏洞的真实性并联系了USPS之后,该机构立即对其进行了修复。
该漏洞源于USPS Web组件中的身份验证API,这个API与USPS的一项名为“ Informed Visibility” 的邮政服务计划有关,该计划旨在让企业、广告商和其他批量邮件发件人通过向他们提供访问权限来”做出更好的商业决策“。
该漏洞除了公开USPS商业客户发送的包裹和邮件实时数据外,还允许任何登录的用户向系统查询其他用户的帐户详情,例如电子邮件地址、用户名、街道地址、电话号码、授权用户、邮寄活动数据、其他信息等。
安全研究人员发现,使用该API搜索一个特定的数据元素(即地址)可以检索共享数据的多个帐户。除了需要了解如何查看和修改由Chrome或Firefox等常规浏览器处理的数据元素之外,并不需要特殊的黑客工具来提取这些数据。如果多个帐户共享一个公共数据元素(例如街道地址),则使用该API进行搜索会显示多个记录,这样一来就可以对其他用户的信息进行查看、修改等操作。
安全研究人员表示这种漏洞是十分危险的,不仅会给USPS的大客户带来问题,也会给垃圾邮件发送者和电子邮件诈骗者提供可趁之机,很容易被用来构建大规模针对性垃圾邮件攻击或鱼叉式网络钓鱼。
作为对该漏洞的修复,USPS增加了一个验证步骤,以防止对某些特定数据字段的未经授权修改。当用户尝试通过该API来修改与特定USPS帐户关联的电子邮件地址时,系统会提示发送到与该帐户关联的电子邮件地址的确认消息。