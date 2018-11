US Postal lässt Daten von 60 Millionen Usern ein Jahr lang ungeschützt

In den USA ist ein peinlicher Datenschutzlapsus der US-Post bekannt geworden. Aufgrund einer Sicherheitslücke in der Website des US Portal Services waren demnach Daten von rund 60 Millionen Kunden für Angreifer theoretisch abrufbar. Zu den Daten gehörten E-Mail-Adressen, Usernamen, Kontonummern, Hausadressen und Telefonnummern.Das wirklich Peinliche daran ist, wie der Postal Service mit der Sicherheitslücke umgegangen ist. Ein Sicherheitsforscher erklärte gegenüber 'The Hacker News' dass er die Lücke schon letztes Jahr entdeckt und der Post gemeldet habe. Diese habe ihn aber über ein Jahr lang ignoriert, bevor die Lücke dann doch noch geschlossen wurde.Bei der Schwachstelle handelte es sich anscheinend um ein Problem bei der Autorisierung von Usern für einen Service, der die Verfolgung von Briefen und Paketen erlaubt. Die verwendete API erlaubte es, "Wildcard"-Parameter für Suchen in einer Weise einzugeben, die es Angreifern erlaubt hätte, die oben erwähnten Daten von anderen Usern abzugreifen. (hjm)