美国邮政漏洞
| 事件 | 细节描述 |
| 发现时间 | 2018年11月22日,美国邮政修补了该漏洞。 |
| 漏洞影响 | 允许任何http://usps.com的用户查看和修改约6000万其他用户的详细信息。 |
| 漏洞来源 | 源于API接口认证问题,主要功能是定义应用程序(如数据库和网页)的各个部分应该如何交互。 |
| 漏洞功能 | 除了暴露美国邮政商业客户发送的包裹和邮件的近乎实时的数据之外,还允许任何登录的http://usps.com用户向系统查询属于其他用户的账户详细信息,例如电子邮件地址、用户名、用户ID、账户号、街道地址、电话号码,授权用户,邮寄的活动数据和其他信息。 |
| 漏洞利用 | API的许多功能都接受“通配符”作为搜索参数,这意味着它们可以返回指定数据集的所有记录,而无需指定搜索的特定语句,除了知道如何查看和修改常规Web浏览器(如Chrome或Firefox)上的数据元素之外,不需要任何特殊的黑客工具来获取这些数据。 |
| 漏洞影响范围 | 影响了Informed Visibility服务,该计划旨在通过向企业、广告商和其他批量邮件发送者提供接近实时的邮件包裹的跟踪数据来更好地做出商业决策。 |
| 漏洞修复 | 美国邮政在确认了他的发现之后,立即解决了这个漏洞。 |
英国邮局Horizon系统漏洞
(图片来源网络,侵删)
| 事件 | 细节描述 |
| 事件背景 | 在2000年至2014年间,据英国邮局官方使用的一款软件Horizon上的数据显示,这14年,邮局副局长和副秘书都存在偷窃盗窃等行为。 |
| 事件影响 | 共计有736名邮局工作人员遭到了起诉,这么算下来,大概平均每周都有人被起诉。 |
| 事件转折 | 有人发现,这一系列的偷窃案出错的并不在于人,而是这款他们一直在使用的Horizon系统,其本身不仅可以让IT员工拥有大于账号本人的操作权,还能把钱“凭空消失”。 |
| 事件结果 | 截止到目前,因Horizon事件被判入狱的原邮局工作人员,已有39位罪名被取消,得以昭雪。 |
| 事件原因 | Horizon系统的漏洞导致的问题,早在“东窗事发”前,就有邮政分社在系统中发现了漏洞,这些错误可能导致系统误报,通常都涉及大量资金。 |
表格详细列出了美国邮政和英国邮局的漏洞情况,包括事件、细节描述等信息。
小伙伴们,上文介绍邮政漏洞的内容,你了解清楚吗?希望对你有所帮助,任何问题可以给我留言,让我们下期再见吧。
(图片来源网络,侵删)
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/75288.html
