USPS ignoró un problema grave de seguridad durante más de un año

30 noviembre, 2018
18 Compartido 1,854 Visualizaciones

El servicio postal de EEUU (USPS) ignoró un problema de seguridad que afectaba a millones de sus usuarios registrados en la web por más de un año hasta que el investigador que lo descubrió se lo mostró al famoso bloguero Brian Krebs.

Según Krebs, el investigador anónimo lo contactó hace una semana con motivo de una vulnerabilidad que descubrió en el API del “Informe de Visibilidad” en USPS.com. Este servicio permite a los usuarios tener un sistema de seguimiento en tiempo real de sus envíos.

Aunque no se han dado muchos detalles (puedes ver las diferencias entre el antes y el después en la API), el problema en la autenticación: ”permitía que cualquier usuario identificado en USPS.com pudiera buscar la información que el sistema tenía sobre otros usuarios, como dirección de correo, nombre de usuario, ID de usuario, número de cuenta, dirección postal, número de teléfono, usuarios autorizados y otros datos”.

Krebs estima que existen unos 60 millones de usuarios en USPS.com, todos estarían afectados siendo accesible su información (salvo las contraseñas) y algunos campos, como email o número de teléfono, podrían incluso ser modificados.

Un atacante que conociera el problema podría incluso ejecutar una búsqueda comodín sin más conocimientos de herramientas salvo como ver y modificar elementos usando un navegador.

Cuando Krebs contactó USPS le dijeron que la empresa no tenía conocimientos de que ningún atacante hubiera explotado la vulnerabilidad, y la solucionaron el problema dos días después de ser informados por Krebs.

No tenemos ninguna forma de confirmar las afirmaciones del descubridor del problema de seguridad, pero de ser ciertas, se ajustarían al modelo de un conocido fenómeno: un usuario/investigador descubre o se queja de algún problema en relación con un servicio o tecnología, informa de ello pero no obtiene ni respuesta ni solución.

El usuario después se queja a un periódico o blog, quien contracta de nuevo con la empresa y de repente el tema es mucho más urgente.

Esto puede importarse como que las empresas prefieren ignorar las quejas de los clientes a no ser que afecten seriamente a su reputación.

O también pueden existir problemas en cómo se gestionan esos avisos. Un empleado recibe un email informando de la vulnerabilidad pero no sabe qué hacer con él o si realmente se trata de una prioridad. A lo mejor no es el trabajo de nadie (o no llega a la persona adecuada).

Hace cuatro años, USPS también sufrió una filtración de datos de sus usuarios, mientras que el año pasado, un servicio separado gestionado por la empresa, Informed Delivery, fue criticado por su mala seguridad.

La moraleja en este caso es que cualquier tipo de tecnología abierta a los usuarios, que no tenga una forma clara de informar sobre deficiencias, siempre va a dar problemas.

Te podría interesar

El 67% de los ciberdelitos tienen su origen en un error humano
Security Breaches
19 compartido2,834 visualizaciones
Security Breaches
19 compartido2,834 visualizaciones

El 67% de los ciberdelitos tienen su origen en un error humano

Mónica Gallego - 8 octubre, 2018

El ransomware está detrás de la mayoría de los ciberataques (23%) y se prevé que el cryptojacking se convierta en…

Atos y Merlin International se unen para ofrecer Servicios de Ciberseguridad Gestionados
Actualidad
23 compartido1,264 visualizaciones
Actualidad
23 compartido1,264 visualizaciones

Atos y Merlin International se unen para ofrecer Servicios de Ciberseguridad Gestionados

José Luis - 28 junio, 2018

La colaboración  permitirá ofrecer soluciones de seguridad críticas de última generación a organizaciones gubernamentales y de atención médica en todo…

Por qué la seguridad del correo electrónico es tan importante
Sin categoría
12 compartido1,199 visualizaciones
Sin categoría
12 compartido1,199 visualizaciones

Por qué la seguridad del correo electrónico es tan importante

Vicente Ramírez - 15 junio, 2018

Óptima IT comparte un white paper en el que muestra los métodos más habituales para atacar los sistemas de correo…

Deje un comentario

Su email no será publicado