USPS की वेबसाइट में गंभीर दोष लाखों उपयोगकर्ताओं का डेटा जोखिम में है

एन्क्रिप्शन चित्रण

यूनाइटेड स्टेट्स पोस्टल सर्विस (यूएसपीएस) ने अपनी टूटी हुई एपीआई को तय कर दिया है जिसने 60 मिलियन उपयोगकर्ताओं के खाते के विवरण को उजागर किया था जिन्होंने सेवा 'सूचित डिलीवरी' के लिए साइन अप किया था।

सूचित डिलीवरी एक नई सेवा है जो यूएसपीएस प्रदान कर रही है जिसके माध्यम से लोग अपने सभी आने वाले मेलों की स्कैन की गई तस्वीरें देख सकते हैं। चित्र वास्तव में कंपनी द्वारा वितरित किए जाने से पहले भेजे जाते हैं। लोग अपने मेल का ट्रैक रख सकते हैं और पहले ही पता कर सकते हैं कि कोई महत्वपूर्ण मेल आज आने वाला है या नहीं।

सुरक्षा खामी ने किसी को भी यू में खाता रखने की अनुमति दी एसपीएस सेवा के अन्य पंजीकृत उपयोगकर्ताओं का विवरण देखने के लिए और यहां तक ​​कि उन उपयोगकर्ताओं के विवरण को बदलने के लिए भी।

सबसे पहले दोष को उजागर किया गया था शोधकर्ता पिछले साल जब वह सर्वर से अनुरोध भेजकर उपयोगकर्ताओं का डेटा निकालने में सक्षम था। शोधकर्ता ने उन्हें सुरक्षा दोष के बारे में बताने के लिए कई बार यूएसपीएस से संपर्क करने का प्रयास किया, लेकिन सभी व्यर्थ। शोधकर्ता ने दिखाया कि जब आप वाइल्डकार्ड सर्वर पर भेजते हैं, तो उनमें से अधिकांश ने खाताधारकों के विवरण को देखने की अनुमति दी।

सुरक्षा विशेषज्ञ ब्रायन क्रेब्स कहा कि यूएसपीएस का कोई भी लॉग-इन उपयोगकर्ता यूएसपीएस के अन्य उपयोगकर्ताओं के खाते के विवरण के लिए खोज करने में सक्षम था। खाता विवरण जैसे खाता संख्या, उपयोगकर्ता नाम, ईमेल पता, उपयोगकर्ता आईडी, फोन नंबर, मेलिंग अभियान डेटा, पता, और अन्य जानकारी आसानी से सुलभ थी। हालाँकि, डेटा में परिवर्तन कुछ क्षेत्रों के लिए नहीं किया जा सकता था क्योंकि डेटा को बदलने के लिए उन क्षेत्रों से जुड़ा एक सत्यापन चरण था।

क्रेब्स के अनुसार, यूएसपीएस से एक बड़ी सुरक्षा खामी थी क्योंकि कोई वास्तविक हैकिंग विशेषज्ञता नहीं थी जो डेटा तक पहुंचने के लिए आवश्यक थी। ब्राउज़र का उपयोग करने वाले तत्वों को देखने और संशोधित करने के लिए बुनियादी ज्ञान रखने वाला कोई भी व्यक्ति खाते के विवरण तक पहुंच बनाने में सक्षम होगा। यूएसपीएस ने कहा कि उन्हें अब तक कोई सबूत नहीं मिला है जिससे पता चलता है कि इसके उपयोगकर्ताओं के किसी भी खाते के विवरण का कोई शोषण हुआ है।