L’US Postal Service (USPS) a corrigé une vulnérabilité dans une API de son site Web qui permettait à tout utilisateur enregistré d’accéder aux données personnelles et de commande des 60 millions de comptes enregistrés.
Comment le service postal à pu perdre autant de données ?
Comme l’explique Brian Krebs, chercheur et fondateur de Krebs on Security, un chercheur anonyme a découvert le problème et l’a signalé à Krebs début octobre, après avoir essayé de contacter le service postal plus d’un an auparavant sans obtenir une réponse.
L’atteinte à la sécurité était liée à une API Web USPS, liée à une initiative de courrier électronique appelée ” visibilité informée “. Cette fonction fournit des informations en temps réel sur les lettres et le suivi des colis envoyés par les utilisateurs, telles qu’elles sont collectées sur le Web, et permet “d’améliorer la facilité d’utilisation grâce à un approvisionnement et une délégation de données flexibles”.
En plus des informations d’expédition, la violation de la sécurité a permis à tout utilisateur d’obtenir les détails du compte, y compris le courriel, le nom d’utilisateur, l’ID, le numéro de compte, le numéro de téléphone, l’adresse et plus. Cela permettrait également de modifier l’information.
Krebs on Security a expliqué que les outils de piratage n’étaient pas nécessaires pour accéder aux données des 60 millions de comptes utilisateurs enregistrés sur usps.com, mais que tout utilisateur enregistré pouvait le faire. Dans les tests qu’il a effectués, il a partagé le fait que “de nombreuses applications d’interface acceptaient les caractères génériques pour les recherches. Avec ces paramètres, il était possible d’obtenir des informations sur un certain ensemble de données sans effectuer une recherche spécifique, seulement en “sachant comment voir et modifier les données traitées par un navigateur”.
L’enquêteur a donné comme exemple le cas où, lors de la recherche d’un élément de données que deux comptes avaient en commun, comme une adresse personnelle, les enquêtes ont révélé que plusieurs comptes pouvaient être découverts dans le même domicile en consultant les courriels respectifs qui leur étaient assignés.
La société postale a publié une déclaration, recueillie par le portail cité, dans laquelle elle a confirmé qu’ils ont réussi à atténuer la vulnérabilité grâce à l’information partagée par l’enquête de Krebs. Il a également déclaré qu’il ne disposait d’aucune information indiquant que la vulnérabilité avait été utilisée pour exploiter les dossiers des clients. Il a également déclaré qu’ils enquêtaient sur ce qui s’était passé et que ” toute personne qui aurait pu chercher à accéder à nos systèmes de manière inappropriée sera poursuivie dans toute la mesure de la loi “.
Nicholas Weaver, chercheur à l’International Institute of Computer Science de Berkeley, Californie, États-Unis, a déclaré au sujet du problème que ” il semblait que le seul contrôle d’accès qu’ils avaient (pour accéder aux comptes de courriel) était que vous étiez connecté ” et que l’API Web aurait dû valider que le compte demandant accès avait la permission de lire les informations.
Changement d’identité et usurpation d’identité
En plus de l’accès aux données, l’article du blogue indique que tout utilisateur peut demander des changements au compte d’un autre utilisateur, ce qui comprend l’adresse électronique ou le numéro de téléphone. Cependant, pour éviter des changements non autorisés, l’USPS a inclus une étape de validation, car selon Krebs, pour modifier l’adresse courriel assignée au compte, un message de confirmation est envoyé à ce même courriel.
La vulnérabilité par le biais de l’initiative “Informed Visibility” aurait pu être utilisée, telle que publiée par Krebs sur Segurity, pour “créer des problèmes pour les plus gros clients USPS”, dans lesquels des sociétés telles que Netflix ont été mises en évidence, car l’API permettait de convertir les comptes de courrier normal en comptes commerciaux avec cette fonction. Un autre problème mis en évidence, cette fois par le directeur technologique de la société de sécurité américaine Bit Discovery, Robert Hansen, fait référence à la possibilité de générer massivement du ” spam ” ou des publicités de phishing.
Krebs on Segurity a souligné que le problème mis en évidence n’était pas présent dans une évaluation de la vulnérabilité ” Visibilité éclairée ” que le Bureau de l’Inspecteur général de l’USPS a publiée en format PDF en octobre. D’autres vulnérabilités d’authentification et de chiffrement, liées à la façon dont les données de transit étaient chiffrées, ont été intégrées dans ce document.