ثغرة بخدمة البريد الأمريكية تعرض بيانات 60 مليون عميل للخطر

 

ومما يثير القلق أن باحثًا أمنًيا مستقلاً أخطر خدمة البريد الأمريكية USPS بالمشكلة منذ أكثر من عام، لكن الخدمة لم تتخذ إجراءً حتى هذا الأسبوع بعد أن اتصل بها المحقق الأمنى KrebsOnSecurity.

 

ووفقا لموقع "ديلى ميل" البريطانى، كان العيب موجودًا فى واجهة برنامج تطبيق (API) مرتبطة بخدمة InformedDelivery التابعة لـ USPS، والتى تتيح للمستخدمين رؤية بريدهم قبل وصوله إلى عتبة منزلهم.

 

وتوفر خدمة InformedDelivery بشكل أساسى للمستخدمين ملخصًا لما يصل إلى البريد، بما فى ذلك المستندات المهمة والحساسة مثل الشيكات وجوازات السفر، و غيرها من الأغراض، لكن تسبب الخلل الأمنى فى الكشف عن البيانات حول الحزم، بالإضافة إلى عدد كبير من المعلومات الشخصية، وهذا يشمل أشياء مثل أرقام الهواتف وعناوين الشوارع وعناوين البريد الإلكترونى وأسماء المستخدمين وأرقام الحسابات ومعرفات المستخدمين.

 

وقال الباحث الأمنى أن هناك خللا فى مصادقة  API الذى من شأنه السماح لأى شخص تقريبا بالوصول إلى قاعدة بيانات USPS مع هذه المعلومات، والأكثر من ذلك، يمكن لأى شخص لديه معرفة بالثغرة الأمنية تغيير عنوان البريد الإلكترونى ورقم الهاتف الخاصين بحساب آخر، ومن المحتمل أن يمنحهما سيطرة كاملة على الحساب.