根據Kerbs on Security的報道,這個漏洞在一年前由一名獨立的安全研究員首次發現,該研究員隨后告知了美國郵政局,然而從未獲得任何回復,直到上周Krebs以該研究員名義聯系了美國郵政局。
據報道,美國郵政局(USPS)周三發布補丁修補了一個API漏洞。該漏洞可允許任何擁有USPS.com賬戶的人查看其他用戶賬戶,directadmin安裝,大約有6000萬美國郵政用戶受該安全漏洞影響。
隨后美國郵政局發布了一份聲明,稱目前為止他們并未發現該漏洞為人利用以獲取用戶信息。郵政局在獲得此漏洞消息后將竭力修復漏洞減輕其影響。
受影響API是美國郵政局“Informed Visibility”項目的一部分,免備案空間 香港服務器,該項目旨在幫助批量郵件發件人能夠以近乎實時的方式獲得跟蹤數據。然而問題在于,任何登錄了系統并且對在Web瀏覽器控制臺中修改參數有基本了解的人,在該API的“幫助下”,都可利用任何數量的“通配符”搜索參數獲取其他用戶的大量數據:從用戶名、賬號到實際地址和聯系方式等等。
