أعلنت خدمة بريد الولايات المتحدة USPS عن إصلاح الخلل الأمني الذي سمح لأي شخص لديه حساب في موقعها الإلكتروني USPS بعرض تفاصيل الحساب لنحو 60 مليون مستخدم آخر، وفي بعض الحالات تعديل تفاصيل الحساب نيابة عنه، وتعد خدمة بريد الولايات المتحدة وكالة مستقلة تابعة للحكومة الفيدرالية للولايات المتحدة وهي مسؤولة عن تقديم الخدمات البريدية في الولايات المتحدة، وهي واحدة من الوكالات الحكومية القليلة المخولة صراحة بموجب دستور الولايات المتحدة.
وتم اكتشاف هذا الخلل لأول مرة منذ أكثر من عام على يد باحث أمني مستقل، والذي أخبر خدمة بريد الولايات المتحدة لكنه لم يستلم أي رد منها، ونشأت المشكلة من ضعف المصادقة في مكون ضمن موقع USPS الإلكتروني المعروف باسم “واجهة برنامج التطبيق” أو API، وهو بشكل أساسي مجموعة من الأدوات التي تحدد كيفية تفاعل أجزاء مختلفة مع بعضها البعض مثل قواعد البيانات وصفحات الويب.
وكان هذا المكون مرتبط بمبادرة خدمة بريدية تسمى “الرؤية الواضحة” Informed Visibility، والتي تم تصميمها وفقًا لخدمة بريد الولايات المتحدة USPS للسماح للشركات والمعلنين وغيرهم من مرسلي البريد باتخاذ قرارات أفضل من خلال تزويدهم بالوصول إلى ميزة التتبع في الوقت الفعلي.
ويعرض العيب البيانات في الوقت الفعلي تقريبًا حول الحزم والبريد التي يرسلها العملاء التجاريون في USPS، كما يسمح لأي مستخدم قام بتسجيل الدخول إلى موقع USPS الإلكتروني بالبحث عبر النظام للحصول على تفاصيل الحساب التي تخص أي مستخدم آخر مثل عنوان البريد الإلكتروني واسم المستخدم وهوية المستخدم ورقم الحساب وعنوان الشارع ورقم الهاتف والمستخدمين المعتمدين وبيانات الحملة البريدية وغيرها من المعلومات.
وتقبل العديد من ميزات واجهة برنامج التطبيق عوامل البحث المتغيرة، مما يعني إمكانية استرجاع جميع السجلات لمجموعة بيانات معينة دون الحاجة إلى البحث عن عبارات محددة، وبدون الحاجة إلى أدوات قرصنة خاصة لسحب هذه البيانات، بخلاف معرفة كيفية عرض وتعديل عناصر البيانات التي تتم معالجتها بواسطة متصفح الويب العادي مثل كروم Chrome أو فايرفوكس Firefox.
ويبدو أن USPS قد أدرجت خطوة التحقق لمنع حدوث تغييرات غير مصرح بها بالنسبة لبعض حقول البيانات، كما من الواضح أن كلمات مرور حساب USPS لم يتم كشفها عبر هذا الخلل الأمني، وقال نيكولاس ويفر Nicholas Weaver، وهو باحث في معهد علوم الحاسب الدولي ومحاضر في جامعة كاليفورنيا في بيركلي، إنه كان يجب على واجهة برنامج التطبيق أن تتحقق من أن الحساب الذي يقدم الطلب لديه الإذن بقراءة البيانات المطلوبة”.
وأضاف “هذا ليس له علاقة بأساسيات أمن المعلومات للمبتدئين، بل يتعلق بكيفية تنفيذ التحكم في الوصول، وإذا كنت تستطيع الوصول إلى بيانات أشخاص آخرين لأنهم لا يفرضون التحكم في الوصول على قراءة تلك البيانات، فإنه سيئ للغاية، وأنا على استعداد للمراهنة على أنها لا تفرض ضوابط على الكتابة لهذه البيانات أيضًا”.
وقال ممثل عن USPS عبر بيان: “لا تتوفر لدينا حاليًا أية معلومات تشير إلى أن هذه الثغرة قد تم استغلالها لاستخلاص سجلات العملاء. سمحت لنا المعلومات المشتركة مع خدمة البريد بالتخفيف من هذه الثغرة بسرعة. تتعرض شبكات الحاسب باستمرار للهجوم من قبل المجرمين الذين يحاولون استغلال نقاط الضعف للحصول على معلومات بشكل غير قانوني”.
وأوضح البيان “يستخدم برنامج أمان معلومات خدمة البريد أفضل الممارسات في الصناعة لمراقبة شبكتنا باستمرار لمنع القيام بأنشطة مشبوهة، وأي معلومات تشير إلى أن المجرمين حاولوا استغلال نقاط الضعف المحتملة في شبكتنا تؤخذ على محمل الجد، وتقوم خدمة البريد بإجراء المزيد من التحقيقات لضمان أن أي شخص قد سعى إلى الوصول إلى أنظمتنا بشكل غير ملائم يتم متابعته إلى أقصى حد عبر القانون”.
