USPS ignoró un problema grave de seguridad durante más de un año

El servicio postal de EEUU (USPS) ignoró un problema de seguridad que afectaba a millones de sus usuarios registrados en la web por más de un año hasta que el investigador que lo descubrió se lo mostró al famoso bloguero Brian Krebs.

Según Krebs, el investigador anónimo lo contactó hace una semana con motivo de una vulnerabilidad que descubrió en el API del “Informe de Visibilidad” en USPS.com. Este servicio permite a los usuarios tener un sistema de seguimiento en tiempo real de sus envíos.

Aunque no se han dado muchos detalles (puedes ver las diferencias entre el antes y el después en la API), el problema en la autenticación: »permitía que cualquier usuario identificado en USPS.com pudiera buscar la información que el sistema tenía sobre otros usuarios, como dirección de correo, nombre de usuario, ID de usuario, número de cuenta, dirección postal, número de teléfono, usuarios autorizados y otros datos».

Krebs estima que existen unos 60 millones de usuarios en USPS.com, todos estarían afectados siendo accesible su información (salvo las contraseñas) y algunos campos, como email o número de teléfono, podrían incluso ser modificados.

Un atacante que conociera el problema podría incluso ejecutar una búsqueda comodín sin más conocimientos de herramientas salvo como ver y modificar elementos usando un navegador.

Cuando Krebs contactó USPS le dijeron que la empresa no tenía conocimientos de que ningún atacante hubiera explotado la vulnerabilidad, y la solucionaron el problema dos días después de ser informados por Krebs.

No tenemos ninguna forma de confirmar las afirmaciones del descubridor del problema de seguridad, pero de ser ciertas, se ajustarían al modelo de un conocido fenómeno: un usuario/investigador descubre o se queja de algún problema en relación con un servicio o tecnología, informa de ello pero no obtiene ni respuesta ni solución.

El usuario después se queja a un periódico o blog, quien contracta de nuevo con la empresa y de repente el tema es mucho más urgente.

Esto puede importarse como que las empresas prefieren ignorar las quejas de los clientes a no ser que afecten seriamente a su reputación.

O también pueden existir problemas en cómo se gestionan esos avisos. Un empleado recibe un email informando de la vulnerabilidad pero no sabe qué hacer con él o si realmente se trata de una prioridad. A lo mejor no es el trabajo de nadie (o no llega a la persona adecuada).

Hace cuatro años, USPS también sufrió una filtración de datos de sus usuarios, mientras que el año pasado, un servicio separado gestionado por la empresa, Informed Delivery, fue criticado por su mala seguridad.

La moraleja en este caso es que cualquier tipo de tecnología abierta a los usuarios, que no tenga una forma clara de informar sobre deficiencias, siempre va a dar problemas.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio