Известный ИБ-журналист Брайан Кребс (Brian Krebs) рассказал, что из-за проблемы с API на сайте Почтовой службы США (U.S. Postal Service, USPS) любой зарегистрированный пользователь мог просмотреть данные 60 млн человек.
Проблему обнаружил не сам Кребс, но некий ИБ-специалист, пожелавший остаться неизвестным. Кребс объясняет, что неназванный исследователь обратился к нему за помощью, так как уязвимость он нашел еще год назад, попытался уведомить USPS о происходящем, но и так и не получил никакого ответа.
Ошибка была связана с работой API, сообщающегося с сервисом Informed Visibility. Данный сервис для бизнес-пользователей позволяет отслеживать отправления практически в реальном времени. Как оказалось, из-за бага любой залогиненный пользователь usps.com мог просматривать информацию о других пользователях, включая их имена, user ID, email-адреса, номера аккаунтов, телефонные номера, почтовые адреса и так далее.
Кребс пишет, что «дырявый» API также позволял любому пользователю сделать запрос на изменения для учетной записи другого человека, то есть было возможно сменить чужой email, телефонный номер или другие ключевые детали.
После придания проблемы огласке представители USPS сообщили, что уязвимость, наконец-то, была устранена и заверили, что не обнаружили никаких признаков того, что ей могли пользоваться злоумышленники.