USPS ignoró un problema grave de seguridad durante más de un año

30 noviembre, 2018
18 Compartido 2,457 Visualizaciones

El servicio postal de EEUU (USPS) ignoró un problema de seguridad que afectaba a millones de sus usuarios registrados en la web por más de un año hasta que el investigador que lo descubrió se lo mostró al famoso bloguero Brian Krebs.

Según Krebs, el investigador anónimo lo contactó hace una semana con motivo de una vulnerabilidad que descubrió en el API del “Informe de Visibilidad” en USPS.com. Este servicio permite a los usuarios tener un sistema de seguimiento en tiempo real de sus envíos.

Aunque no se han dado muchos detalles (puedes ver las diferencias entre el antes y el después en la API), el problema en la autenticación: »permitía que cualquier usuario identificado en USPS.com pudiera buscar la información que el sistema tenía sobre otros usuarios, como dirección de correo, nombre de usuario, ID de usuario, número de cuenta, dirección postal, número de teléfono, usuarios autorizados y otros datos».

Krebs estima que existen unos 60 millones de usuarios en USPS.com, todos estarían afectados siendo accesible su información (salvo las contraseñas) y algunos campos, como email o número de teléfono, podrían incluso ser modificados.

Un atacante que conociera el problema podría incluso ejecutar una búsqueda comodín sin más conocimientos de herramientas salvo como ver y modificar elementos usando un navegador.

Cuando Krebs contactó USPS le dijeron que la empresa no tenía conocimientos de que ningún atacante hubiera explotado la vulnerabilidad, y la solucionaron el problema dos días después de ser informados por Krebs.

No tenemos ninguna forma de confirmar las afirmaciones del descubridor del problema de seguridad, pero de ser ciertas, se ajustarían al modelo de un conocido fenómeno: un usuario/investigador descubre o se queja de algún problema en relación con un servicio o tecnología, informa de ello pero no obtiene ni respuesta ni solución.

El usuario después se queja a un periódico o blog, quien contracta de nuevo con la empresa y de repente el tema es mucho más urgente.

Esto puede importarse como que las empresas prefieren ignorar las quejas de los clientes a no ser que afecten seriamente a su reputación.

O también pueden existir problemas en cómo se gestionan esos avisos. Un empleado recibe un email informando de la vulnerabilidad pero no sabe qué hacer con él o si realmente se trata de una prioridad. A lo mejor no es el trabajo de nadie (o no llega a la persona adecuada).

Hace cuatro años, USPS también sufrió una filtración de datos de sus usuarios, mientras que el año pasado, un servicio separado gestionado por la empresa, Informed Delivery, fue criticado por su mala seguridad.

La moraleja en este caso es que cualquier tipo de tecnología abierta a los usuarios, que no tenga una forma clara de informar sobre deficiencias, siempre va a dar problemas.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Descubren Casbaneiro, un nuevo troyano bancario que roba criptomonedas
Actualidad
10 compartido2,187 visualizaciones
Actualidad
10 compartido2,187 visualizaciones

Descubren Casbaneiro, un nuevo troyano bancario que roba criptomonedas

Alicia Burrueco - 7 octubre, 2019

El malware está afectando especialmente a varios países de Latinoamérica y a España, entre otros ESET, ha anunciado el descubrimiento…

¿Y si tras un ciberataque masivo se declarase zona catastrófica en un país completo?
Actualidad
17 compartido2,265 visualizaciones
Actualidad
17 compartido2,265 visualizaciones

¿Y si tras un ciberataque masivo se declarase zona catastrófica en un país completo?

Redacción - 6 febrero, 2020

Se trata de una pregunta sin respuesta oficial pero cuya importancia podría ir aumentando en los próximos años. ¿Y sí…?…

Cuatro peligrosas apps de Apple roban datos y los envían a China
APTS
17 compartido3,480 visualizaciones
APTS
17 compartido3,480 visualizaciones

Cuatro peligrosas apps de Apple roban datos y los envían a China

Samuel Rodríguez - 14 septiembre, 2018

La empresa de ciberseguridad Malwarebytes asegura que cuatro de las apps de Apple Store roban datos personales de los usuarios…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.