据外媒报道,美国邮局周三发布了API漏洞补丁。这个安全漏洞影响到了6000万个用户,可以让任何拥有美国邮局网站账户的人查看其他用户的账户信息。
这个安全漏洞是在一年多前被一名独立安全研究人员发现的。他在当时就通知了美国邮局,但是没有得到任何回复。直到上周知名安全网站 Krebs On Security代表这名安全研究人员联系美国邮局,该邮局才作出回应。
这个API属于美国邮局的Informed Visibility项目,该项目旨在帮助寄送邮件的人实时跟踪查看相关信息。但问题是,这个API可以让任何登录这个系统并知道如何在网络浏览器控制面板上修改相关参数设置的人查看其他用户的信息,包括用户名、账号、物理地址和电话号码等等。
“美国邮局采取的唯一访问控制措施就是你要先登录它的系统。它没有对用户数据设置访问控制,因而任何登录它的系统的人都可以访问其他人的数据。这将会带来灾难性的后果。”国际计算机科学研究院的研究人员尼古拉斯-韦弗(Nicholas Weaver)说。
美国邮局发表了如下声明:
“我们目前尚没有发现证据证明这个漏洞被用来滥用用户的信息。我们已迅速采取了相关措施来堵塞这个安全漏洞。”
“现在,电脑网络总是不断地遭到犯罪分子的攻击,他们试图利用各种安全漏洞来非法窃取信息。与其他公司一样,美国邮局的信息安全计划和检验检测服务采用了行业最先进的安全措施来监测我们的网络,识别各种可疑活动。”
“任何表明犯罪分子试图利用我们网络安全漏洞的信息都会得到我们的高度重视。出于谨慎,美国邮局开展了进一步调查,以确保任何试图非法访问我们系统信息的人受到法律的追究。”