与我们互助

专注信息宁静范畴产物研发,努力于为当局、军工等涉密单元及别的企奇迹单元提供专业的信息宁静产物、办理方案、技能照料征询等办事。

有关于信息宁静范畴及文件加密的题目和我们谈谈吗?

您可以填写左边的表格,让我们相识您的项目需求,我们将会尽快与你获得接洽。固然也接待您致电我们400德律风。

您也可经过下列途径与我们获得接洽:

地 址:厦门思明区珍珠湾软件园一期创新大厦B区7楼

电 话:400-666-0170 / 0592-2565820

官 网:www.zhaozizha.com

客户办事:sales@zhaozizha.com

市场所作:market@zhaozizha.com

疾速提交您的需求 ↓

美国邮政署网站的一个高危毛病袒露了6000万用户的数据

公布工夫:2018-11-23 泉源: 欣赏次数:451次

克日,美国邮政署(United States Postal ServiceUSPS)修复了其网站的一个高危毛病,该毛病容许任安在usps.com拥有账户的用户检察和修正其他用户的账户信息,约有6000万用户遭到影响。

有关该毛病的音讯最后是由着名网络宁静记者Brian Krebs报道的,发明毛病的宁静研讨职员在上周自动接洽了他。

这位不肯吐露姓名的宁静研讨职员表现,他在一年多曩昔就曾经向USPS陈诉了这个毛病,但不停没有收到复兴。在Brian Krebs验证了毛病的真实性并接洽了USPS之后,该机构立刻对其举行了修复。

凭据Brian Krebs的报道,这个毛病源于USPS 的一个使用步伐接口(Application Programming Interface API)的身份验证缺陷。这个APIUSPS的一项名为“ Informed Visibility” 的邮政办事方案有关,旨为企业、告白商和其他批量邮件发件人提供靠近及时数据跟踪的本领,从而做出更好的业务决议计划

除了会袒露有关相近包裹和邮件的及时数据之外,该毛病还容许任何登录usps.com用户向体系查询其他用户的帐户信息,如电子邮件地点、用户名、用户ID、账号、街道地点、德律风号码、受权用户、邮寄运动数据和其他信息。” Brian Krebs在他的文章中写道。

与该API相干的很多功效均支持通配符搜刮参数,这也就意味着它们可以前往给定命据集的全部记录,而不必要搜刮特定的术语。

宁静研讨职员发明,利用该API搜刮一个特定的数据元素(即地点)可以检索共享数据的多个帐户。除了必要相识怎样检察和修正由ChromeFirefox等通例欣赏器处置惩罚的数据元素之外,并不必要特别的黑客东西来提取这些数据。

要是多个帐户共享一个大众数据元素(比方街道地点),那么利用该API举行搜刮通常会表现多个记录的特定命据元素。比方,要是多个用户在统一物理地点举行注册,那么对电子邮件地点举行搜刮就可以或许发明全部这些帐户。

Brian Krebs表现,这种毛病是非常伤害的,渣滓邮件发送者大概会将其滥用到多种歹意目标,包罗网络垂纶运动。

作为对该毛病的修复,USPS增长了一个验证步调,以防备对某些特定命据字段的未经受权修正。当用户实验经过该API来修正与特定USPS帐户联系关系的电子邮件地点时,体系会提示发送到与该帐户联系关系的电子邮件地点简直认音讯。好音讯是,这个API好像并没有袒露USPS帐户暗码。

保举旧事

国泰航空就940万搭客材料外泄致歉

2018-11-15

国泰航空就940万搭客材料外泄致歉 指黑客利用前所未见歹意程式故未被侦测 中新社香港...

澳大利亚最大贸易银行遗失1200万条用户生意业务数据

2018-05-07

澳大利亚最大的贸易银行澳大利亚联邦银行(CBA)克日颁发音讯称,他们遗失了包罗客户姓名、地点、账号和2000年至2...

Fasten数据库不测在线袒露 上百万用户小我私家材料或已泄漏

2018-05-16

随着的挪动互联网期间的到来,手机APP已然成为了改进人们生存质量、富厚人们生存颜色的很紧张东西,笼罩了人们生存的各...

223GB数据泄漏:美共和党德律风拉票公司MongoDB数据库被黑

2018-04-19

美国共和党德律风拉票公司Victory Phones的MongoDB数据库被黑,几十万为政治运动捐钱的美国百姓数据遭...

谷歌改口,将修复天文地位信息泄漏题目

2018-06-20

雷锋网音讯,据外媒美国工夫 6 月 18 日报道,将来几周内,谷歌将修复旗下两款最火爆消耗级产物...

Copyright ©2006-2017 厦门意彩龙虎和科技株式会社

在线
客服

在线客服办事工夫:24小时

客服
热线

400-666-0170
0592-2565820
7*24小时客户办事热线
点击上方德律风,收费通话

前往
顶部