[ad_1]

Service postal américain vient de corriger une faille de sécurité qui permettait à toute personne disposant d’un compte sur usps.com pour afficher les détails du compte de quelque 60 millions d’autres utilisateurs et, dans certains cas, pour modifier les détails du compte en leur nom.

Image : USPS.com

BreachTrace a été contacté la semaine dernière par un chercheur qui a découvert le problème, mais qui a demandé à rester anonyme. Le chercheur a déclaré qu’il avait informé l’USPS de sa découverte il y a plus d’un an, mais qu’il n’avait jamais reçu de réponse. Après avoir confirmé ses conclusions, cet auteur a contacté l’USPS, qui a rapidement résolu le problème.

Le problème provenait d’une faiblesse d’authentification dans un composant Web USPS connu sous le nom d ‘ »interface de programme d’application » ou API – essentiellement, un ensemble d’outils définissant la manière dont les différentes parties d’une application en ligne telles que les bases de données et les pages Web doivent interagir les unes avec les autres.

L’API en question était liée à une initiative du service postal appelée « Visibilité informée», qui, selon l’USPS, est conçu pour permettre aux entreprises, aux annonceurs et aux autres expéditeurs de courrier en masse de « prendre de meilleures décisions commerciales en leur donnant accès à des données de suivi en temps quasi réel » sur les campagnes et les packages de courrier.

En plus d’exposer des données en temps quasi réel sur les colis et le courrier envoyés par les clients commerciaux de l’USPS, la faille laisse tout utilisateur usps.com connecté interroger le système pour obtenir les détails du compte appartenant à d’autres utilisateurs, tels que l’adresse e-mail, le nom d’utilisateur, l’ID utilisateur, le numéro de compte, l’adresse postale, le numéro de téléphone, les utilisateurs autorisés, les données de campagne de publipostage et d’autres informations.

De nombreuses fonctionnalités de l’API acceptaient les paramètres de recherche « génériques », ce qui signifie ils pourraient être amenés à renvoyer tous les enregistrements d’un ensemble de données donné sans qu’il soit nécessaire de rechercher des termes spécifiques. Aucun outil de piratage spécial n’était nécessaire pour extraire ces données, autre que la connaissance de la façon d’afficher et de modifier les éléments de données traités par un navigateur Web ordinaire comme Chrome ou Firefox.

Une brochure USPS annonçant les caractéristiques et les avantages de la visibilité informée.

Dans les cas où plusieurs comptes partageaient un élément de données commun, comme une adresse postale, l’utilisation de l’API pour rechercher un élément de données spécifique faisait souvent apparaître plusieurs enregistrements. Par exemple, une recherche sur les adresses e-mail des lecteurs qui se sont portés volontaires pour aider à cette recherche a révélé plusieurs comptes lorsque ces utilisateurs avaient plus d’un utilisateur inscrit à la même adresse physique.

« Ce n’est pas bon », a déclaré un lecteur anonyme qui s’est porté volontaire pour aider à cette recherche, après avoir visionné un copier-coller des détails de son compte USPS recherché via son adresse e-mail. « Surtout depuis que nous avons déménagé suite aux menaces d’un voisin. »

Nicolas Tisserandchercheur au Institut international d’informatique et maître de conférences à UC Berkeleya déclaré que l’API aurait dû valider que le compte à l’origine de la demande était autorisé à lire les données demandées.

« Ce n’est même pas Information Security 101, c’est Information Security 1, qui consiste à mettre en œuvre le contrôle d’accès », a déclaré Weaver. « Il semble que le seul contrôle d’accès qu’ils avaient en place était que vous étiez connecté du tout. Et si vous pouvez accéder aux données d’autres personnes parce qu’elles n’appliquent pas de contrôles d’accès à la lecture de ces données, c’est catastrophiquement mauvais et je suis prêt à parier qu’elles n’appliquent pas non plus de contrôles à l’écriture de ces données.

Un examen rapide par BreachTrace indique que l’API promiscuité permet à tout utilisateur de demander des modifications de compte pour tout autre utilisateur, comme l’adresse e-mail, le numéro de téléphone ou d’autres détails clés.

Heureusement, l’USPS semble avoir inclus une étape de validation pour empêcher les modifications non autorisées, du moins avec certains champs de données. Les tentatives de modification de l’adresse e-mail associée à mon compte USPS via l’API ont provoqué l’envoi d’un message de confirmation à l’adresse e-mail liée à ce compte (ce qui nécessitait de cliquer sur un lien dans l’e-mail pour effectuer la modification).

Il ne semble pas que les mots de passe des comptes USPS aient été exposés via cette API, bien que BreachTrace n’ait effectué qu’un examen très bref et limité de la fonctionnalité plutôt large de l’API avant de signaler le problème à l’USPS. L’API en cause réside ici; une copie de l’API avant sa modification le 20 novembre par l’USPS est disponible ici sous forme de fichier texte.

La possibilité de modifier les entrées de base de données liées aux comptes d’utilisateurs Informed Visibility pourrait créer des problèmes pour les plus gros clients de l’USPS – pensez à des entreprises comme Netflix et d’autres qui bénéficient de tarifs réduits pour les volumes élevés. Par exemple, l’API permettait à tout utilisateur de convertir des comptes usps.com réguliers en comptes professionnels Informed Visibility, et vice versa.

Les spammeurs et les escrocs par e-mail pourraient également s’amuser avec cette vulnérabilité USPS, a déclaré Robert Hansendirecteur technique chez Découverte de bits une entreprise de sécurité à Austin, Texas.

« Cela pourrait facilement être exploité pour créer des spams ciblés de masse ou du spear phishing », a déclaré Hansen. « Il aurait dû être protégé par authentification et validé par rapport à l’utilisateur connecté en question. »

Dans une déclaration partagée avec BreachTrace, l’USPS a déclaré qu’il ne disposait actuellement d’aucune information indiquant que cette vulnérabilité avait été exploitée pour exploiter les enregistrements des clients, et que les informations partagées avec l’USPS lui avaient permis d’atténuer rapidement la vulnérabilité. Voici le reste de leur déclaration :

« Les réseaux informatiques sont constamment attaqués par des criminels qui tentent d’exploiter les vulnérabilités pour obtenir illégalement des informations. Comme d’autres entreprises, le programme de sécurité de l’information du service postal et le service d’inspection utilisent les meilleures pratiques de l’industrie pour surveiller en permanence notre réseau à la recherche d’activités suspectes.

« Toute information suggérant que des criminels ont tenté d’exploiter les vulnérabilités potentielles de notre réseau est prise très au sérieux. Par prudence, le service postal poursuit son enquête pour s’assurer que toute personne qui aurait cherché à accéder à nos systèmes de manière inappropriée soit poursuivie dans toute la mesure permise par la loi.

Selon un document quelque peu expurgé évaluation de la vulnérabilité de la visibilité informée (PDF) publié en octobre 2018 par l’USPS’s Bureau de l’inspecteur général (OIG), les auditeurs ont trouvé un certain nombre de faiblesses d’authentification et de cryptage dans le service. Mais ils semblaient avoir négligé ce problème de sécurité assez criant. L’USPS a déclaré au BIG qu’il avait résolu les problèmes d’authentification soulevés dans le rapport d’audit, qui semblent avoir été liés à la manière dont les données étaient chiffrées en transit.

La vulnérabilité de l’API est le dernier écueil de sécurité pour les efforts du service postal pour moderniser les opérations. Le programme Informed Visibility est l’initiative sœur du programme USPS Livraison informée service, qui permet aux résidents de visualiser des images numérisées de tous les courriers entrants. La vulnérabilité de l’API a affecté tous les utilisateurs d’usps.com, y compris quelque 13 millions d’utilisateurs d’Informed Delivery.

Comme détaillé dans de nombreuses histoires ici, Informed Delivery a eu du mal à mettre en œuvre des fonctionnalités de sécurité qui pourraient empêcher les abus du système par les voleurs d’identité et autres vauriens.

Plus tôt ce mois-ci, BreachTrace a annoncé que le Services secrets américains a publié une note interne sur les voleurs d’identité abusant de la livraison informée pour aider au vol de courrier. L’histoire cite des cas dans plusieurs États impliquant des escrocs qui ont commandé de nouvelles cartes de crédit au nom des victimes, puis se sont inscrits en tant que victimes à Informed Delivery une fois les cartes envoyées – permettant ainsi aux voleurs de dire exactement quand les nouvelles cartes de crédit seraient arriver par la poste.

Bien que la résolution des faiblesses de la divulgation d’informations et de l’authentification soit souvent assez simple, il est remarquable de voir combien d’organisations qui devraient être mieux informées n’investissent pas les ressources nécessaires pour les trouver et les résoudre. En septembre, cet auteur a détaillé comment une entreprise utilisée par des milliers d’États et de gouvernements locaux pour accepter les paiements en ligne divulguait plus de 14 millions d’enregistrements.

En août, BreachTrace a révélé une faille similaire à l’œuvre dans des centaines de sites Web de petites banques gérés par Fiservun important fournisseur de services technologiques aux institutions financières.

En juillet, service de protection contre l’usurpation d’identité LifeLock corrigé une faille de divulgation d’informations qui exposait l’adresse e-mail de millions d’abonnés. Et en avril 2018, PaneraBread.com a remédié à une faiblesse en exposant des millions de noms de clients, d’adresses e-mail et physiques, d’anniversaires et de numéros de carte de crédit partiels.

Vous avez un conseil sur une vulnérabilité de sécurité similaire à celles détaillées ci-dessus, ou peut-être quelque chose de plus grave ? S’il vous plaît envoyez-moi une note à Breachtrace @ gmail.com.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *