Amerikaanse postdienst lekt gegevens van 60 miljoen klanten door probleem met API

Abonneer je gratis op Techzine!

De USPS, de Amerikaanse postdienst, heeft een kwetsbaarheid gedicht waardoor de data van ongeveer 60 miljoen klanten zichtbaar werd voor iedereen die ingelogd was op hun website. Dat meldt Silicon Angle. De kwetsbaarheid zat in een API die de website gebruikte. 

De kwetsbaarheid werd ontdekt door beveiligingsonderzoeker Brian Krebs. De fout was gerelateerd aan een authenticatie-kwetsbaarheid in een API die “Informed Visibility” heet. De API is ontworpen om verzenders van grote hoeveelheden post hun post te volgen en analyseren.

De dienst moest alleen beschikbaar zijn voor de verzenders, maar de API liet iedereen die ingelogd was in USPS.com het systeem doorzoeken naar accountdetails van andere gebruikers. Het ging onder meer om e-mailadressen, gebruikersnamen, accountnummers, adressen en telefoonnummers. De kwetsbaarheid liet gebruikers ook wijzigingen aanvragen voor de accounts van andere gebruikers, zoals het e-mailadres of het telefoonnummer.

USPS wist de kwetsbaarheid te dichten voordat Krebs de details online plaatste. In een verklaring stelt het bedrijf dat het geen informatie heeft dat de kwetsbaarheid werd misbruikt om klantgegevens te stelen. Het voegt echter wel toe dat het postbedrijf het incident verder onderzoekt, om er zeker van te zijn dat als iemand probeerde het systeem binnen te komen, vervolgd wordt.

API’s

Setu Kulkarni, vice-president van strategy and business development bij WhiteHat Security, stelt dat de rol van een API in de kwetsbaarheid noemenswaardig is. “API’s blijken een zwaard te zijn dat aan twee kanten snijdt als het aankomt op B2B-verbindingen en -beveiligingen op schaal van het internet. API’s breken, als ze onveilig zijn, het gehele idee van connectiviteit dat ze hielpen opzetten af.”

Om dergelijke fouten te voorkomen, moeten overheidsinstanties en bedrijven proactief zijn als het gaat om de beveiliging van applicaties, aldus Kulkarni. Hij noemt het voor ieder bedrijf dat omgaat met consumentengegevens een verplichting om de beste beveiligingstesten uit te voeren voor kwetsbare delen: API’s, netwerkverbindingen, mobiele apps, websites en databases.