El servicio de correos de Estados Unidos solucionó una vulnerabilidad presente en una Interfaz de Programación de Usuario (API) en su página web, por la que cualquier usuario registrado podía acceder a datos personales y de pedidos de los 60 millones de cuentas registradas. El fallo de seguridad estaba relacionado con una API de la web del servicio, ligada a una iniciativa de correos llamada «Visibilidad Informada». Esta función ofrecía información en tiempo real de las cartas y del seguimiento de los paquetes enviados por los usuarios, según se recoge en la web de correos, y permitía «mejorar la facilidad de uso a través del aprovisionamiento y delegación flexible de los datos».
Además de la información relativa a los envíos, el fallo de seguridad permitió a cualquier usuario obtener detalles de las cuentas, entre los que se encontraban datos como el correo electrónico, el nombre de usuario, su documento de identidad, el número de cuenta, el teléfono, la dirección, entre otros. También permitiría la modificación de la información.
Krebs on Security explicó que no se necesitaban herramientas de piratería para acceder a los datos de los 60 millones de cuentas de usuario registrados en usps.com, sino que cualquier usuario registrado podía hacerlo.
La empresa de correos emitió un comunicado, recogido por el portal citado, en el cual confirmó que consiguieron mitigar la vulnerabilidad gracias a la información compartida por la investigación de Krebs. También declaró que no tenía información de que se hubiera usado la vulnerabilidad para explotar los registros de los clientes.
Sigue leyendo: El servicio de correos de Estados Unidos arregla una vulnerabilidad que expuso los datos de 60 millones de usuarios
[+] Videos de nuestro canal de YouTube