اكتشاف ثغرة بالبريد الأمريكي تعرض بيانات 60 مليون مستخدم للخطر
اكتشف محقق الأمن KrebsOnSecurity ثغرة أمنية على موقع خدمة البريد الإلكتروني الأمريكي، مما أدى إلى تعرض 60 مليون مستخدم للخطر.
وسمحت الثغرة لأي شخص برؤية عناوين منازل المستخدمين وأسمائهم وأرقام هواتفهم والمعلومات الشخصية الأخرى.
ومما يثير القلق أن باحثًا أمنًيا مستقلاً أخطر خدمة البريد الأمريكية USPS بالمشكلة منذ أكثر من عام، لكن الخدمة لم تتخذ إجراءً حتى هذا الأسبوع بعد أن اتصل بها المحقق الأمنى KrebsOnSecurity.
ووفقا لموقع "ديلى ميل" البريطاني، كان العيب موجودًا في واجهة برنامج تطبيق (API) مرتبطة بخدمة InformedDelivery التابعة لـ USPS، والتي تتيح للمستخدمين رؤية بريدهم قبل وصوله إلى عتبة منزلهم.
وتوفر خدمة InformedDelivery بشكل أساسي للمستخدمين ملخصًا لما يصل إلى البريد، بما في ذلك المستندات المهمة والحساسة مثل الشيكات وجوازات السفر، و غيرها من الأغراض، لكن تسبب الخلل الأمني في الكشف عن البيانات حول الحزم، بالإضافة إلى عدد كبير من المعلومات الشخصية، وهذا يشمل أشياء مثل أرقام الهواتف وعناوين الشوارع وعناوين البريد الإلكتروني وأسماء المستخدمين وأرقام الحسابات ومعرفات المستخدمين.
وقال الباحث الأمني أن هناك خللا فى مصادقة API الذى من شأنه السماح لأي شخص تقريبا بالوصول إلى قاعدة بيانات USPS مع هذه المعلومات، والأكثر من ذلك، يمكن لأى شخص لديه معرفة بالثغرة الأمنية تغيير عنوان البريد الإلكتروني ورقم الهاتف الخاصين بحساب آخر، ومن المحتمل أن يمنحهما سيطرة كاملة على الحساب.
