یو ایس پی ایس کی ویب سائٹ میں تنقیدی خامی جس سے لاکھوں صارفین کا ڈیٹا رسک ہوا

خبریں
سیکیورٹی / یو ایس پی ایس کی ویب سائٹ میں تنقیدی خامی جس سے لاکھوں صارفین کا ڈیٹا رسک ہوا 1 منٹ پڑھا توری

خفیہ کاری مثال



ریاستہائے متحدہ پوسٹل سروس (یو ایس پی ایس) نے اپنے ٹوٹے ہوئے API کو طے کیا ہے جس نے 60 ملین صارفین کے اکاؤنٹ کی تفصیلات کو بے نقاب کیا ہے جنہوں نے 'باخبر فراہمی' سروس کے لئے سائن اپ کیا تھا۔

باخبر فراہمی ایک نئی خدمت ہے جو یو ایس پی ایس فراہم کررہی ہے جس کے ذریعے لوگ اپنے آنے والے تمام ای میلوں کی اسکین شدہ تصاویر دیکھ سکتے ہیں۔ اس میل سے پہلے کمپنی کی طرف سے میل بھیجنے سے پہلے تصاویر بھیج دی جاتی ہیں۔ لوگ اپنی میلوں کا ٹریک رکھ سکتے ہیں اور پہلے ہی معلوم کر سکتے ہیں کہ آج کوئی اہم میل آنے والا ہے یا نہیں۔



سیکیورٹی کی خرابی کی وجہ سے کسی کو بھی یو میں اکاؤنٹ رکھنے کی اجازت مل گئی ایس پی ایس خدمت کے دوسرے رجسٹرڈ صارفین کی تفصیلات دیکھنے اور یہاں تک کہ ان صارفین کی تفصیلات کو تبدیل کرنے کے ل.۔



اس خامی کو سب سے پہلے ایک نے بے نقاب کیا محقق پچھلے سال جب وہ سرور کو درخواستیں بھیج کر صارفین کا ڈیٹا نکالنے میں کامیاب تھا۔ محقق نے حفاظتی خرابی کے بارے میں بتانے کے لئے متعدد بار یو ایس پی ایس سے رابطہ کرنے کی کوشش کی ، لیکن سب بیکار تھا۔ محقق نے ظاہر کیا کہ جب آپ نے سرورز کو وائلڈ کارڈ بھیجے تو ، اس نے ان میں سے بیشتر کو قبول کرلیا تاکہ دوسروں کو اکاؤنٹ رکھنے والوں کی تفصیلات دیکھنے کی اجازت دی جا.۔



سیکیورٹی ماہر برائن کربس کہا کہ یو ایس پی ایس کا کوئی بھی لاگ ان صارف یو ایس پی ایس کے دوسرے صارفین کے اکاؤنٹ کی تفصیلات تلاش کرنے میں کامیاب ہے۔ اکاؤنٹ کی تفصیلات جیسے اکاؤنٹ نمبر ، صارف نام ، ای میل ایڈریس ، صارف شناخت ، فون نمبر ، میلنگ مہم کا ڈیٹا ، پتہ اور دیگر معلومات آسانی سے قابل رسائی تھیں۔ تاہم ، کچھ شعبوں میں اعداد و شمار میں تبدیلی نہیں کی جاسکتی ہے کیونکہ ڈیٹا کو تبدیل کرنے کے لئے ان فیلڈز سے وابستہ توثیقی اقدام تھا۔

کریبس کے مطابق ، یو ایس پی ایس کی طرف سے سیکیورٹی میں بہت بڑا نقص موجود تھا کیوں کہ وہاں ہیکنگ کی کوئی مہارت نہیں تھی جس کے لئے اعداد و شمار تک رسائی حاصل کرنے کی ضرورت تھی۔ براؤزر استعمال کرنے والے عناصر کو دیکھنے اور ان میں ترمیم کرنے کے لئے بنیادی معلومات رکھنے والا کوئی بھی شخص اکاؤنٹ کی تفصیلات تک رسائی حاصل کر سکے گا۔ یو ایس پی ایس نے بتایا کہ انہیں اب تک کوئی ثبوت نہیں ملا ہے جس سے یہ معلوم ہوتا ہے کہ اس کے استعمال کنندہ کے اکاؤنٹ کی تفصیلات کا کوئی استحصال کیا گیا ہے۔

ٹیگز ڈیٹا سیکیورٹی