USPS ignoró un problema grave de seguridad durante más de un año

30 noviembre, 2018
18 Compartido 2,040 Visualizaciones

El servicio postal de EEUU (USPS) ignoró un problema de seguridad que afectaba a millones de sus usuarios registrados en la web por más de un año hasta que el investigador que lo descubrió se lo mostró al famoso bloguero Brian Krebs.

Según Krebs, el investigador anónimo lo contactó hace una semana con motivo de una vulnerabilidad que descubrió en el API del “Informe de Visibilidad” en USPS.com. Este servicio permite a los usuarios tener un sistema de seguimiento en tiempo real de sus envíos.

Aunque no se han dado muchos detalles (puedes ver las diferencias entre el antes y el después en la API), el problema en la autenticación: »permitía que cualquier usuario identificado en USPS.com pudiera buscar la información que el sistema tenía sobre otros usuarios, como dirección de correo, nombre de usuario, ID de usuario, número de cuenta, dirección postal, número de teléfono, usuarios autorizados y otros datos».

Krebs estima que existen unos 60 millones de usuarios en USPS.com, todos estarían afectados siendo accesible su información (salvo las contraseñas) y algunos campos, como email o número de teléfono, podrían incluso ser modificados.

Un atacante que conociera el problema podría incluso ejecutar una búsqueda comodín sin más conocimientos de herramientas salvo como ver y modificar elementos usando un navegador.

Cuando Krebs contactó USPS le dijeron que la empresa no tenía conocimientos de que ningún atacante hubiera explotado la vulnerabilidad, y la solucionaron el problema dos días después de ser informados por Krebs.

No tenemos ninguna forma de confirmar las afirmaciones del descubridor del problema de seguridad, pero de ser ciertas, se ajustarían al modelo de un conocido fenómeno: un usuario/investigador descubre o se queja de algún problema en relación con un servicio o tecnología, informa de ello pero no obtiene ni respuesta ni solución.

El usuario después se queja a un periódico o blog, quien contracta de nuevo con la empresa y de repente el tema es mucho más urgente.

Esto puede importarse como que las empresas prefieren ignorar las quejas de los clientes a no ser que afecten seriamente a su reputación.

O también pueden existir problemas en cómo se gestionan esos avisos. Un empleado recibe un email informando de la vulnerabilidad pero no sabe qué hacer con él o si realmente se trata de una prioridad. A lo mejor no es el trabajo de nadie (o no llega a la persona adecuada).

Hace cuatro años, USPS también sufrió una filtración de datos de sus usuarios, mientras que el año pasado, un servicio separado gestionado por la empresa, Informed Delivery, fue criticado por su mala seguridad.

La moraleja en este caso es que cualquier tipo de tecnología abierta a los usuarios, que no tenga una forma clara de informar sobre deficiencias, siempre va a dar problemas.

Te podría interesar

Ingecom apoyará a Bitdefender en su apuesta por la gran cuenta en el mercado portugués
Actualidad
1,334 visualizaciones
Actualidad
1,334 visualizaciones

Ingecom apoyará a Bitdefender en su apuesta por la gran cuenta en el mercado portugués

Vicente Ramírez - 17 enero, 2019

El mayorista actuará como impulsor del negocio de Bitdefender a través de los integradores más potentes del mercado portugués. Bitdefender,…

Millones de apps corren el riesgo de dejar a la vista datos personales a causa de un código de terceros
Actualidad
12 compartido2,157 visualizaciones2
Actualidad
12 compartido2,157 visualizaciones2

Millones de apps corren el riesgo de dejar a la vista datos personales a causa de un código de terceros

Vicente Ramírez - 24 abril, 2018

El número de aplicaciones que utilizan estos SDK asciende a varios millones y la mayoría transmite sin cifrar al menos…

Nuevas campañas de phishing suplantando a empresas de criptomonedas
Ciberespionaje
19 compartido2,334 visualizaciones
Ciberespionaje
19 compartido2,334 visualizaciones

Nuevas campañas de phishing suplantando a empresas de criptomonedas

Mónica Gallego - 5 agosto, 2019

¿Has oído hablar de una empresa de criptomonedas llamada Luno? Nosotros no habíamos oído hablar de ella hasta hace poco,…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.