Dịch vụ bưu chính Hoa Kỳ để lộ dữ liệu 60 triệu khách hàng trên website USPS.com của mình. Dịch vụ bưu chính Hoa Kỳ là một cơ quan độc lập của chính phủ liên bang Hoa Kỳ cung cấp dịch vụ bưu chính tại nước này.Lỗ hổng trên trang web khiến dịch vụ bưu chính Hoa Kỳ để lộ dữ liệu khách hàng liên quan đến điểm yếu xác thực trong API của chương trình “Informed Visibility” (Theo dõi bưu kiện) của đơn vị này.
Dịch vụ bưu chính Hoa Kỳ để lộ dữ liệu của 60 triệu người dùng
Theo các nhà nghiên cứu, API của trang web USPS được thiết kế để chấp nhận bất kỳ thông số tìm kiếm nào, cho phép tin tặc truy cập vào trang usps.com để lấy dữ liệu của những người dùng khác.
Nói cách khác, tin tặc có thể đã lấy email, tên người dùng, thông tin thẻ căn cước, số điện thoại, địa chỉ của 60 triệu người dùng USPS.
“Trong trường hợp Dịch vụ bưu chính Hoa Kỳ để lộ dữ liệu người dùng này, API lại là con dao hai lưỡi. Nếu API không đảm bảo sẽ phá vỡ liên kết của trang”, ông Setu Kulkarni tại WhiteHat Security phát biểu. “Để tránh lỗi tương tự, các cơ quan chính phủ nên chủ động áp dụng bảo mật hơn. Các tổ chức dựa trên các nền tảng kỹ thuật số nên yêu cầu nhà phát triển làm code sử dụng cách bảo mật cao nhất.”
Dịch vụ bưu chính Hoa Kỳ để lộ dữ liệu nhưng không công bố hơn một năm nay?
Điều tồi tệ nhất là USPS xử lý vụ việc này rất vô trách nhiệm.
Người phát hiện ra lỗ hổng này đã báo cáo cho USPS từ năm ngoái, nhưng cơ quan này đã lờ đi và để lộ dữ liệu khách hàng cho tới tuần trước khi một phóng viên liên lạc trực tiếp với USPS. Lúc đó Dịch vụ bưu chính Hoa Kỳ mới xử lý lỗ hổng trong vòng 48 tiếng.
Dịch vụ bưu chính Hoa Kỳ phản hồi như sau:
“Chúng tôi hiện không nhận được thông tin nào chứng minh lỗ hổng dẫn tới thông tin khách hàng bị khai thác.”
“Chúng tôi hiện đang điều tra để đảm bảo người nào truy cập trái phép hệ thống của chúng tôi sẽ bị xử lý nghiêm minh trước pháp luật.”