USPS ignoró un problema grave de seguridad durante más de un año

30 noviembre, 2018
18 Compartido 1,947 Visualizaciones

El servicio postal de EEUU (USPS) ignoró un problema de seguridad que afectaba a millones de sus usuarios registrados en la web por más de un año hasta que el investigador que lo descubrió se lo mostró al famoso bloguero Brian Krebs.

Según Krebs, el investigador anónimo lo contactó hace una semana con motivo de una vulnerabilidad que descubrió en el API del “Informe de Visibilidad” en USPS.com. Este servicio permite a los usuarios tener un sistema de seguimiento en tiempo real de sus envíos.

Aunque no se han dado muchos detalles (puedes ver las diferencias entre el antes y el después en la API), el problema en la autenticación: ”permitía que cualquier usuario identificado en USPS.com pudiera buscar la información que el sistema tenía sobre otros usuarios, como dirección de correo, nombre de usuario, ID de usuario, número de cuenta, dirección postal, número de teléfono, usuarios autorizados y otros datos”.

Krebs estima que existen unos 60 millones de usuarios en USPS.com, todos estarían afectados siendo accesible su información (salvo las contraseñas) y algunos campos, como email o número de teléfono, podrían incluso ser modificados.

Un atacante que conociera el problema podría incluso ejecutar una búsqueda comodín sin más conocimientos de herramientas salvo como ver y modificar elementos usando un navegador.

Cuando Krebs contactó USPS le dijeron que la empresa no tenía conocimientos de que ningún atacante hubiera explotado la vulnerabilidad, y la solucionaron el problema dos días después de ser informados por Krebs.

No tenemos ninguna forma de confirmar las afirmaciones del descubridor del problema de seguridad, pero de ser ciertas, se ajustarían al modelo de un conocido fenómeno: un usuario/investigador descubre o se queja de algún problema en relación con un servicio o tecnología, informa de ello pero no obtiene ni respuesta ni solución.

El usuario después se queja a un periódico o blog, quien contracta de nuevo con la empresa y de repente el tema es mucho más urgente.

Esto puede importarse como que las empresas prefieren ignorar las quejas de los clientes a no ser que afecten seriamente a su reputación.

O también pueden existir problemas en cómo se gestionan esos avisos. Un empleado recibe un email informando de la vulnerabilidad pero no sabe qué hacer con él o si realmente se trata de una prioridad. A lo mejor no es el trabajo de nadie (o no llega a la persona adecuada).

Hace cuatro años, USPS también sufrió una filtración de datos de sus usuarios, mientras que el año pasado, un servicio separado gestionado por la empresa, Informed Delivery, fue criticado por su mala seguridad.

La moraleja en este caso es que cualquier tipo de tecnología abierta a los usuarios, que no tenga una forma clara de informar sobre deficiencias, siempre va a dar problemas.

Te podría interesar

Top 5 startup de ciberseguridad en el Cybertech Startup Show 2018
Actualidad
32 compartido1,673 visualizaciones
Actualidad
32 compartido1,673 visualizaciones

Top 5 startup de ciberseguridad en el Cybertech Startup Show 2018

Vicente Ramírez - 2 octubre, 2018

Cybertech Startup Show mostró en intervalos de 4 minutos por ponente,  5 de las startups más punteras en el sector…

Santander invierte en Roostify, una startup que permite formalizar una hipoteca con el móvil
FINTECH
43 compartido993 visualizaciones
FINTECH
43 compartido993 visualizaciones

Santander invierte en Roostify, una startup que permite formalizar una hipoteca con el móvil

José Luis - 23 febrero, 2018

Participan en una ronda de financiación que ha alcanzado los 25 millones de dólares. Santander InnoVentures, el fondo de capital emprendedor…

8 predicciones que marcarán Blockchain en 2019
Actualidad
23 compartido987 visualizaciones
Actualidad
23 compartido987 visualizaciones

8 predicciones que marcarán Blockchain en 2019

Vicente Ramírez - 30 enero, 2019

Fujitsu ha presentado sus predicciones para el desarrollo de blockchain para este año 2019. La multinacional señala 8 tendencias fundamentales…

Deje un comentario

Su email no será publicado