USPS Stati Uniti: senza protezione i dati sensibili di oltre 60 milioni di clienti

USPS

Il Servizio Postale degli Stati Uniti, USPS,  ha corretto una vulnerabilità di sicurezza classificata critica che ha esposto per più di un anno i dati di oltre 60 milioni di clienti.

La vulnerabilità era associata a una debolezza dell’autenticazione Application Programming Interface (API) legata al programma USPS “Informed Visibility” progettato per aiutare i clienti aziendali a tenere traccia della posta in tempo reale.

Secondo un ricercatore, che non ha voluto rivelare la propria identità, l’API è stata programmata per accettare qualsiasi parametro di ricerca “jolly”, consentendo a chiunque effettuasse l’accesso a usps.com di interrogare il sistema sui dettagli degli account di qualsiasi utente registrato al servizio postale americano.

L’utente malintenzionato avrebbe potuto, senza particolari difficoltà e conoscenze tecniche, estrarre numeri account, nomi utente, indirizzi e-mail, ID utente, indirizzi anagrafici di oltre 60 milioni di account-cliente USPS.

Il ricercatore anonimo ha scoperto e segnalato la vulnerabilità a USPS più di un anno fa, ma il servizio postale americano è corso ai ripari correggendo la vulnerabilità solo una settimana fa quando il problema è stato portato agli onori della cronaca dal giornalista Brian Krebs.

“Al momento non abbiamo informazioni che questa vulnerabilità sia stata usata per rubare o modificare i dati dei clienti” ha dichiarato USPS, “[…] per prudenza, il Servizio Postale sta indagando ulteriormente per assicurare che chiunque abbia cercato di accedere ai nostri sistemi in modo inappropriato sia perseguito nella misura massima consentita dalla legge”.