• 雏凤遇知音:程砚秋与罗瘿公的一段梨园佳话  2019-03-15
  • 发福利啦!端午节看呆萌海狮秀,抽千张欢乐谷门票 ——凤凰网房产北京 2019-03-15
  • 失眠怎么调理 五种水果助你安神养眠-美食资讯 2019-03-10
  • 【改革·印记】媒介变迁,看西藏获得外界信息方式的变化 2019-01-28
  • 第20届上海国际电影节 2018-12-27
  • 海军新型两栖打击群开训 请祖国检阅 2018-12-17
  • 《2015中国音乐产业发展报告》发布 2018-12-09
  • 中国保险监督管理委员会原主席项俊波受贿案一审开庭 2018-12-09
  • 人民网舆情监测室发布12月涉旅舆情生态报告 2018-12-06
  • 紫光阁中共中央国家机关工作委员会 2018-12-06
  • 湖州唤醒“沉睡”的土地 2018-11-28
  • 国学大师钱穆长寿秘诀 靠的竟是这种养生术 2018-11-28
  • 【说说这个节】端午问候有讲究 道声“安康”最适宜 2018-11-26
  • 与我们合作

    专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

    有关于信息安全领域及文件加密的问题和我们谈谈吗?

    您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

    您也可通过下列途径与我们取得联系:

    地 址:厦门思明区珍珠湾软件园一期创新大厦B区7楼

    电 话:400-666-0170 / 0592-2565820

    官 网:双色球2018年必出号码 www.xasyr.net

    客户服务:[email protected]

    市场合作:[email protected]

    快速提交您的需求 ↓

    美国邮政署网站的一个高危漏洞暴露了6000万用户的数据

    发布时间:2018-11-23 来源: 浏览次数:1772次

    双色球2018年必出号码 www.xasyr.net 近日,美国邮政署(United States Postal Service,USPS)修复了其网站的一个高危漏洞,该漏洞允许任何在usps.com拥有账户的用户查看和修改其他用户的账户信息,约有6000万用户受到影响。

    有关该漏洞的消息最初是由知名网络安全记者Brian Krebs报道的,发现漏洞的安全研究人员在上周主动联系了他。

    这位不愿透露姓名的安全研究人员表示,他在一年多以前就已经向USPS报告了这个漏洞,但一直没有收到回复。在Brian Krebs验证了漏洞的真实性并联系了USPS之后,该机构立即对其进行了修复。

    根据Brian Krebs的报道,这个漏洞源于USPS 的一个应用程序接口(Application Programming Interface ,API)的身份验证缺陷。这个APIUSPS的一项名为“ Informed Visibility” 的邮政服务计划有关,旨为企业、广告商和其他批量邮件发件人提供接近实时数据跟踪的能力,从而做出更好的业务决策。

    除了会暴露有关附近包裹和邮件的实时数据之外,该漏洞还允许任何登录usps.com用户向系统查询其他用户的帐户信息,如电子邮箱地址、用户名、用户ID、账号、街道地址、电话号码、授权用户、邮寄活动数据和其他信息。” Brian Krebs在他的文章中写道。

    与该API相关的许多功能均支持通配符搜索参数,这也就意味着它们可以返回给定数据集的所有记录,而不需要搜索特定的术语。

    安全研究人员发现,使用该API搜索一个特定的数据元素(即地址)可以检索共享数据的多个帐户。除了需要了解如何查看和修改由ChromeFirefox等常规浏览器处理的数据元素之外,并不需要特殊的黑客工具来提取这些数据。

    如果多个帐户共享一个公共数据元素(例如街道地址),那么使用该API进行搜索通?;嵯允径喔黾锹嫉奶囟ㄊ菰?。例如,如果多个用户在同一物理地址进行注册,那么对电子邮件地址进行搜索就能够发现所有这些帐户。

    Brian Krebs表示,这种漏洞是十分危险的,垃圾邮件发送者可能会将其滥用到多种恶意目的,包括网络钓鱼活动。

    作为对该漏洞的修复,USPS增加了一个验证步骤,以防止对某些特定数据字段的未经授权修改。当用户尝试通过该API来修改与特定USPS帐户关联的电子邮件地址时,系统会提示发送到与该帐户关联的电子邮件地址的确认消息。好消息是,这个API似乎并没有暴露USPS帐户密码。

    推荐新闻

    Imgur承认曾遭黑客攻击,170万账号信息被窃取

    2017-12-27

    继不久前 Uber 被曝付 10 万美元封口费给黑客掩盖 5700 万名用户及司机信息泄露事件,全球知名图片分享网...

    数据不安全备份,贴心的黑客教你怎么交赎金

    2018-02-11

    说起勒索病毒,大家可能常见的是以下这样的: 但又是英文,又是比特币的,即使是想交...

    伊朗黑客组织试图伪造以色列安全公司官网实施网络钓鱼

    2018-07-05

    以色列安全公司 ClearSky Security在近日发布报告称,伊朗APT黑客组织Charm...

    优步曾隐瞒大规模数据泄露事件 5700万用户受影响

    2017-11-22

    北京时间22日早间路透社称,优步科技公司CEO科斯洛沙希(DaraKhosrowshahi)周二表示...

    前程无忧百万数据遭泄露?含手机密码,疑遭撞库

    2018-06-22

    A站发生数据泄漏后,又有一家大型网站数据在暗网销售。据澎湃新闻报道,前程无忧用户信息在暗网公开销售,黑客展示部分样...

    Copyright ?2006-2017 厦门天锐科技股份有限公司

    在线
    客服

    在线客服服务时间:24小时

    客服
    热线

    400-666-0170
    双色球2018年必出号码
    7*24小时客户服务热线
    点击上方电话,免费通话

    返回
    顶部
  • 雏凤遇知音:程砚秋与罗瘿公的一段梨园佳话  2019-03-15
  • 发福利啦!端午节看呆萌海狮秀,抽千张欢乐谷门票 ——凤凰网房产北京 2019-03-15
  • 失眠怎么调理 五种水果助你安神养眠-美食资讯 2019-03-10
  • 【改革·印记】媒介变迁,看西藏获得外界信息方式的变化 2019-01-28
  • 第20届上海国际电影节 2018-12-27
  • 海军新型两栖打击群开训 请祖国检阅 2018-12-17
  • 《2015中国音乐产业发展报告》发布 2018-12-09
  • 中国保险监督管理委员会原主席项俊波受贿案一审开庭 2018-12-09
  • 人民网舆情监测室发布12月涉旅舆情生态报告 2018-12-06
  • 紫光阁中共中央国家机关工作委员会 2018-12-06
  • 湖州唤醒“沉睡”的土地 2018-11-28
  • 国学大师钱穆长寿秘诀 靠的竟是这种养生术 2018-11-28
  • 【说说这个节】端午问候有讲究 道声“安康”最适宜 2018-11-26