Cualquier usuario de la agencia de reparto USPS podría acceder a los datos de otros
El Servicio Postal de los Estados Unidos ha corregido una vulnerabilidad de seguridad crítica que expuso los datos de más de 60 millones de clientes a cualquier persona que tenga una cuenta en el sitio web USPS.com.
La U.S.P.S. es una agencia independiente del gobierno federal estadounidense responsable de proporcionar el servicio postal en los Estados Unidos y es una de las pocas agencias gubernamentales autorizadas explícitamente por la Constitución de los Estados Unidos.
La vulnerabilidad está vinculada a una debilidad de autenticación en una interfaz de programación de aplicaciones (API) para el programa de "Visibilidad Informada" de USPS diseñado para ayudar a los clientes comerciales a rastrear el correo en tiempo real.
Expuestos 60 millones de datos de usuarios del USPS
De acuerdo con un investigador de seguridad cibernética, que no ha revelado su identidad, la API fue programada para aceptar cualquier número de parámetros de búsqueda "comodín", lo que permite a cualquier usuario registrado en usps.com consultar el sistema para obtener detalles de la cuenta que pertenezcan a cualquier otro usuario.
En otras palabras, el atacante podría haber borrado las direcciones de correo electrónico, los nombres de usuario, las ID de usuario, los números de cuenta, las direcciones, los números de teléfono, los usuarios autorizados y los datos de las campañas de correo de hasta 60 millones de cuentas de clientes de USPS.
"Las API se están convirtiendo en un arma de doble filo cuando se trata de conectividad y seguridad B2B a escala de Internet. Las API, cuando son inseguras, rompen la premisa de la súper conectividad que han ayudado a establecer", dijo Setu Kulkarni, vicepresidente de estrategia y desarrollo de negocios de WhiteHat Security.
"Para evitar fallas similares, las agencias gubernamentales y las empresas deben ser proactivas, no solo reactivas, en lo que respecta a la seguridad de las aplicaciones. Todas las empresas que manejan datos de los consumidores deben hacer de la seguridad una preocupación constante y prioritaria con la obligación de realizar las pruebas de seguridad más estrictas contra las vías vulnerables: API, conexiones de red, aplicaciones móviles, sitios web y bases de datos. Las organizaciones que dependen de plataformas digitales deben educar y capacitar a los desarrolladores para que codifiquen utilizando las mejores prácticas de seguridad a lo largo de todo el ciclo de vida del software (SLC), con la capacitación y certificaciones de seguridad adecuadas".
USPS ignoró la divulgación responsable durante más de un año
¿Qué es lo más preocupante?
La vulnerabilidad de autenticación de la API también permitió a cualquier usuario de USPS solicitar cambios de cuenta para otros usuarios, como sus direcciones de correo electrónico, números de teléfono u otros detalles clave.
La peor parte de todo el incidente fue el manejo por USPS de la divulgación responsable de vulnerabilidades.
El investigador anónimo supuestamente descubrió e informó el año pasado de manera responsable esta vulnerabilidad al Servicio Postal, quien la ignoró y dejó expuestos los datos de sus usuarios hasta la semana pasada cuando un periodista se comunicó con USPS en nombre del investigador.
Y luego, el Servicio Postal abordó el problema en solo 48 horas, dijo el periodista Brian Krebs.
"Si bien no estamos seguros de si alguien aprovechó realmente la vulnerabilidad, se informó que existió durante todo un año, por lo que deberíamos asumir lo peor", dijo Paul Bischoff, defensor de la privacidad de Comparitech.
USPS responde diciendo:
"Actualmente no tenemos información de que esta vulnerabilidad haya sido aprovechada para explotar los registros de los clientes. Debido a una gran cantidad de precauciones, el Servicio Postal está investigando para garantizar que cualquier persona que haya intentado acceder a nuestros sistemas de manera inadecuada sea perseguida en la máxima medida de la ley".
