美国邮政泄露6000万用户数据

美国邮政已经修补了一个重要的漏洞，它允许任何usps.com的用户查看大约6000万其他用户的详细信息，在某些情况下还能修改他们的详细信息。

KrebsOnSecurity在上周联系到了一位发现该问题的研究人员，但是他要求匿名。这位研究人员说，他在一年多前就向美国邮政总局通报了他的发现，但从未收到任何回应。在确认了他的发现之后，作者联系了美国邮政，美国邮政立即解决了这个漏洞。

这个漏洞源于美国邮政 Web组件中称为API接口的认证问题——主要功能是定义应用程序（如数据库和网页）的各个部分应该如何交互。

该API与名为“Informed Visibility”的邮政服务计划有关，根据美国邮政的介绍，该计划旨在通过向企业、广告商和其他批量邮件发送者提供接近实时的邮件包裹的跟踪数据来更好地做出商业决策。

除了暴露美国邮政商业客户发送的包裹和邮件的近乎实时的数据之外，该漏洞还允许任何登录的usps.com用户向系统查询属于其他用户的帐户详细信息，例如电子邮件地址、用户名、用户ID、帐户号、街道地址、电话号码，授权用户，邮寄的活动数据和其他信息。

API的许多功能都接受“通配符”作为搜索参数，这意味着它们可以返回指定数据集的所有记录，而无需指定搜索的特定语句。除了知道如何查看和修改常规Web浏览器（如Chrome或Firefox）上的数据元素之外，不需要任何特殊的黑客工具来获取这些数据。

对于多个帐户都拥有的一个公共数据集时（如同一个街道地址），使用API搜索通常会产生多个记录。例如，在邮件地址上搜索那些自愿帮助这项研究的读者，当这些用户在同一个物理地址上注册了不止一个用户时，搜索物理地址会找到多个帐户。

“这很糟糕，”一位自愿帮助进行这项研究的匿名读者在查看了通过邮箱地址查找到的美国邮政总局账户信息后说道。“特别是我在受到邻居的威胁从而搬家后。"

国际计算机科学研究所的研究员、加州大学伯克利分校的讲师尼古拉斯·韦弗（Nicholas Weaver）说，API应该验证提出任何账户提出的读取数据请求是否得到授权。

“这甚至都不属于Information Security 101，实现访问控制是Information Security 1，”韦弗说道。“看起来美国邮政唯一做到的访问控制就是在你登录时。如果你因为美国邮政的访问控制不严而可以访问其他人的数据，那将是一个灾难性的问题，我敢打赌他们也没有在写入数据时进行权限控制。”

KrebsOnSecurity的粗略检查表明这个混乱的API允许任何用户更改其他用户帐户相关信息，例如电子邮件地址、电话号码或其他关键细节。

但幸运的是，美国邮政似乎包含了一个验证步骤，防止对部分敏感字段的非法更改。当试图通过API修改与美国邮政帐户相关联的电子邮件地址会提示发送至与该帐户相关联的电子邮件地址一个二次确认消息（这需要单击电子邮件中的链接来完成更改步骤）。

虽然在向美国邮政报告问题之前，KrebsOnSecurity只对API的大量功能进行了非常简短和有限的检查，但目前看来美国邮政的帐户密码并不会通过这个API泄露。美国邮政在11月20日修改API之前的API的副本在这个链接仅供参考。（https://iv.usps.com/dist/services/ivui_mt.app.services.js）

修改Informed Visibility相关的用户的相关的数据可能会给美国邮政的大客户带来问题，比如Netflix以及其他因为大量交易而得到较低折扣的公司。例如，API允许任何用户将常规的usps.com帐户转换为Informed Visibility的业务帐户，反之亦然。

德克萨斯州奥斯汀的一家安全公司Bit Discovery的首席技术官罗伯特·汉森（Robert Hansen）说，垃圾邮件以及电子邮件诈骗人员也可能因为美国邮政的漏洞而得到“巨大帮助”。

在一个和krebsonsecurity联合发布的声明中，美国邮政表示，目前没有该漏洞被确切利用的证据，而且和krebsonsecurity的信息共享使得它们能够迅速想灭漏洞。以下是具体声明：

“计算机网络不断受到试图利用漏洞来非法获取信息的犯罪分子的攻击。与其他公司类似，邮政的所有服务都是使用业内最佳的信息安全流程和检查措施以持续监控我们的网络，杜绝可疑行为。”

“任何犯罪分子试图利用我们网络潜在漏洞的痕迹都会被严肃对待。出于严谨，邮政部门正在进一步调查，以确保任何试图以不适当的方式访问我们的系统的人都将受到法律的追究。”

根据美国邮政总局的监察长办公室(OIG)于2018年10月发布的一份关于Informed Visibility服务的漏洞评估报告(PDF)，审计人员发现该服务存在一些认证和加密漏洞。但他们似乎忽略了这个相当明显的安全问题。美国邮政告诉OIG，他们已经解决了审计报告中提出的认证问题，这些问题似乎与数据在传输过程中如何加密有关。

而API漏洞是邮政服务实现业务现代化中的最新安全漏洞。Informed Visibility是美国邮政Informed Delivery的姊妹计划，该服务允许居民查看所有收到邮件的扫描图像。API漏洞影响了usps.com的所有用户，其中包括1300万Informed Delivery用户。

正如在这里的许多故事中所详细描述的那样，Informed Delivery一直难以实现绝对安全，无法防止身份盗窃和系统滥用。

本月早些时候，KrebsOnSecurity披露了一则消息，美国特勤局(U.S. Secret Service)发布了一份内部备忘录，内容是关于滥用Informed Delivery服务而导致的身份盗窃，最终导致邮件被盗。备忘录中指出，在多个州都存在骗子订购了受害者名字的新的信用卡,一旦卡发货，就假装成受害者在Informed Delivery签收，从而使小偷知道新信用卡将什么时候抵达邮箱。

尽管修复信息泄露和身份验证的漏洞通常非常简单，但值得注意的是，很多少组织都不愿意投入资源去解决这些问题。今年9月，作者详细描述了一家被数千个州和地方政府用于接受在线支付的公司是如何泄露了1400多万份记录。

今年8月，KrebsOnSecurity披露了Fiserv公司运营的数百个小型银行网站上存在的类似漏洞。Fiserv是一家主要为金融机构提供技术服务的公司。

今年7月，身份盗窃保护服务机构LifeLock修正了一项信泄露漏洞缺陷，该漏洞暴露了数百万用户的电子邮件地址。2018年4月，PaneraBread.com弥补了一个漏洞，暴露了数以百万计的客户姓名、电子邮件和实际地址、生日和部分信用卡号码。

原文链接：https://krebsonsecurity.com/2018/11/usps-site-exposed-data-on-60-million-users/