La oficina de servicio postal de Estados Unidos se encarga de gestionar el servicio de correos en todo el país. Uno de sus servicios consiste en ofrece una API con la que se puede acceder a información sobre el estado de los envíos. Según especialistas en forense digital y ciberseguridad del Instituto Internacional de Seguridad Cibernética ha sido corregida, y se trataba de una vulnerabilidad en la autenticación de la API.

El fallo en la API ocurría debido a que esta permitía a cualquier usuario registrado en USPS realizar consultas al sistema utilizando «comodines» como parámetros de búsqueda. Como resultado, los usuarios podían utilizar este fallo para realizar consultas sobre cualquier envío y obtener datos de otros usuarios como: direcciones de email, números de cuenta, números de teléfono o direcciones.

Además de poder acceder a datos de otros usuarios, un fallo de autenticación en la API, permitía a cualquier usuario realizar peticiones para modificar datos de otros usuarios.

Según el Servicio Postal, por el momento no hay indicios de que esta vulnerabilidad haya sido explotada de forma maliciosa por ningún usuario. Pero continua estudiando el incidente para determinar si en algún momento la vulnerabilidad ha sido explotada.

https://www.cnet.com/es/noticias/usps-corrige-bug-expuso-datos-60-millones-usuarios/