부서진 미국 우편 서비스 API는 연구원이 와일드 카드 요청을 서버에 보내 수백만 행의 데이터를 가져 와서 6 천만 명 이상의 사용자를 노출 시켰습니다. 결과 보안 구멍은 USPS에 반복적으로 요청한 후 패치되었습니다.
InformedDelivery 라고하는 USPS 서비스를 사용하면 집에 도착하기 전에 메일을 볼 수 있으며 사용자가 CRM과 같은 전문 서비스에 메일을 연결할 수있는 API를 제공합니다. 우리 는 2017 년에 서비스를 프로 파일링했습니다 .
익명의 연구원은이 서비스가 많은 검색을 위해 와일드 카드를 허용하여 모든 사용자가 사이트의 다른 사용자를 볼 수 있도록했습니다. 브라이언 크레브스자신의 사이트에 API 코드의 복사본이 있습니다 .
USPS는 Krebs에게 데이터 노출을 조사한 사실을 다음과 같이 밝혔다.
컴퓨터 네트워크는 불법적으로 정보를 입수하기 위해 취약점을 악용하려는 범죄자로부터 끊임없이 공격 받고 있습니다. 다른 회사와 마찬가지로 USPS의 정보 보안 프로그램과 검사 서비스는 업계 모범 사례를 사용하여 네트워크에서 의심스러운 활동을 지속적으로 모니터링합니다.
범죄자가 네트워크의 잠재적 취약성을 악용하려고 시도했음을 나타내는 모든 정보는 매우 심각하게 받아 들여집니다. 풍부한 우중을 감안할 때 USPS는 부적절하게 시스템에 액세스하려고 시도한 사람이 법의 최대한도를 추구 할 수 있도록하기 위해 추가 조사를 실시하고 있습니다.
Krebs는 또한 신원 도둑이 어떤 요일에 사용자의 집에 어떤 메일이 도착 하는지를 알기 위해 서비스를 오용하고있어 중요한 문서와 수표를 자유롭게 잡을 수 있다고 보도 했습니다. API 취약점이 패치되었지만이 강력한 도구에서 잘못 처리 된 다른 기능이 무엇인지 알려주지는 않습니다.