Hlavní navigace

Americká pošta měla v systému chybu ohrožující 60 milionů uživatelů

Petr Krčmář

Americká poštovní služba (US Postal Service) měla ve svém systému usps.com zásadní bezpečnostní chybu, která umožňovala libovolnému uživateli číst a modifikovat informace z účtů ostatních uživatelů. Ohroženo bylo všech 60 milionů uživatelů, jejichž data si mohl kdokoliv přečíst. Problém nahlásil bezpečnostní odborník Brian Krebs, který informaci dostal od anonymního objevitele. Ten už prý organizaci mezeru nahlásil už před rokem, nic se ale nestalo. Proto byl problém zveřejněn a teprve pak byl odstraněn.

Chyba byla konkrétně v API, které dovoluje firmám sledovat zásilky. Kromě této funkce ale po přihlášení umožňovalo rozhraní také číst či přepisovat informace ostatních uživatelů jako uživatelské jméno, e-mail, uživatelské ID, číslo účtu, adresa, telefon a další. Dobrou zprávou v této nepříjemné situaci je, že se z databáze nedalo přečíst heslo a změna e-mailu vyvolala žádost o potvrzení zaslanou na starou adresu.

Našli jste v článku chybu?