Почта США преподнесла своим клиентам неприятный сюрприз

Журналист Брайан Кребс, специализирующийся в расследовании киберинцидентов, сообщил в своем блоге о программной ошибке сайта Почтовой службы США (United States Postal Service – USPS). Проблема связана со слабостью механизма аутентификации программного интерфейса функции Informed Visibility. Эта функция позволяет зарегистрированным пользователям отслеживать на сайте процесс доставки уже отправленных на их адреса, но еще не полученных сообщений. Однако, как выяснилось, с тем же успехом функцию Informed Visibility можно было использовать и для противоправных целей. Она позволяла просматривать данные других клиентов USPS, включая адреса электронной почты и проживания, логины и присвоенные сайтом уникальные идентификаторы, номера телефонов и т.д.

Инцидентом, который можно рассматривать как потенциальную утечку данных, оказались затронуты порядка 60 миллионов человек. Брайан Кребс подчеркивает, что он не сам обнаружил проблему: об уязвимости ему сообщил некий исследователь, пожелавший сохранить анонимность. Исследователь также добавил, что еще более года назад уведомил USPS о ситуации, однако никакой реакции не последовало. Вмешательство Кребса, очевидно, помогло: судя по последней информации, проблема устранена. Почтовая служба США пока воздерживается от каких-либо комментариев.