Il Servizio Postale degli Stati Uniti, USPS, ha corretto una vulnerabilità di sicurezza classificata critica che ha esposto per più di un anno i dati di oltre 60 milioni di clienti.
La vulnerabilità era associata a una debolezza dell’autenticazione Application Programming Interface (API) legata al programma USPS “Informed Visibility” progettato per aiutare i clienti aziendali a tenere traccia della posta in tempo reale.
Secondo un ricercatore, che non ha voluto rivelare la propria identità, l’API è stata programmata per accettare qualsiasi parametro di ricerca “jolly”, consentendo a chiunque effettuasse l’accesso a usps.com di interrogare il sistema sui dettagli degli account di qualsiasi utente registrato al servizio postale americano.
L’utente malintenzionato avrebbe potuto, senza particolari difficoltà e conoscenze tecniche, estrarre numeri account, nomi utente, indirizzi e-mail, ID utente, indirizzi anagrafici di oltre 60 milioni di account-cliente USPS.
Il ricercatore anonimo ha scoperto e segnalato la vulnerabilità a USPS più di un anno fa, ma il servizio postale americano è corso ai ripari correggendo la vulnerabilità solo una settimana fa quando il problema è stato portato agli onori della cronaca dal giornalista Brian Krebs.
“Al momento non abbiamo informazioni che questa vulnerabilità sia stata usata per rubare o modificare i dati dei clienti” ha dichiarato USPS, “[…] per prudenza, il Servizio Postale sta indagando ulteriormente per assicurare che chiunque abbia cercato di accedere ai nostri sistemi in modo inappropriato sia perseguito nella misura massima consentita dalla legge”.