La vulnerabilidad persistió en el sitio web del servicio postal por casi un año
Especialistas en forense digital y ciberseguridad del Instituto Internacional de Seguridad Cibernética informan que el Servicio Postal de Estados Unidos ha corregido una vulnerabilidad de seguridad calificada como crítica, debido a la cual fueron expuestos los datos de más de 60 millones de usuarios que estén registrados en el sitio web usps.com.
El Servicio Postal de EU es una agencia independiente del gobierno federal. Esta oficina es responsable de administrar y proporcionar el servicio de correos en todo Estados Unidos, además es una de las pocas agencias gubernamentales mencionadas explícitamente en la Constitución de los Estados Unidos.
Según reportes de expertos en forense digital, la falla está vinculada a una debilidad de autenticación en una interfaz de programación de aplicaciones (API) para el programa de “Visibilidad Informada” del servicio postal, diseñado para ayudar a los clientes comerciales a rastrear sus envíos en tiempo real.
De acuerdo con los investigadores que revelaron el incidente de seguridad, la API en cuestión fue programada para aceptar cualquier número de parámetros de búsqueda “comodines”, lo que permitió a cualquier usuario registrado en usps.com realizar consultas en el sistema para obtener detalles de cuentas pertenecientes a otros usuarios.
Dicho de otro modo, un atacante podría haber obtenido las direcciones email, nombres de usuario, ID de usuario, números de cuenta, direcciones, números de teléfono, e información postal de hasta 60 millones de usuarios con cuenta en usps.com.
“Las API se están convirtiendo en un arma de doble filo cuando se trata de conectividad y seguridad B2B a escala de Internet. Las API, cuando son inseguras, rompen la premisa de la conectividad que han ayudado a establecer”, menciona Setu Kulkarni, especialista en forense digital de WhiteHat Security.
El servicio postal encontró la vulnerabilidad casi un año después
La vulnerabilidad de autenticación de la API también permitió a cualquier usuario del servicio postal solicitar cambios de cuenta para otros usuarios, por ejemplo, podían modificar sus direcciones de correo electrónico, números de teléfono u otros detalles sensibles. La peor parte de todo el incidente fue el manejo que el servicio postal le dio a la divulgación de la vulnerabilidad.
Aunque no ha sido confirmado, se cree que los investigadores descubrieron la vulnerabilidad y la reportaron de manera responsable a los funcionarios del servicio postal; sin embargo, la oficina ignoró las advertencias, dejando los datos de los usuarios desprotegidos por casi 12 meses, hasta que un periodista se comunicó con el servicio postal en nombre de los investigadores.
Posteriormente, el servicio de portal corrigió el problema (tarea que sólo les tomó 48 horas), declaró el periodista Brian Krebs.
“Aunque hasta el momento no hay evidencia de que alguien haya explotado la vulnerabilidad, sí se sabe que ésta se mantuvo presente por casi un año, por lo que el panorama es poco alentador”, dijo Paul Bischoff, activista por los derechos digitales.
Por su parte, el Servicio Postal declaró:
“Hasta el momento no contamos con información que confirme que la vulnerabilidad haya sido explotada.
El Servicio Postal continúa investigando el incidente para garantizar que cualquier usuario malicioso sea presentado ante las autoridades”.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
