USPS aurait corrigé un bug sur son site web juste à temps pour les vacances.
Getty Images
Juste à temps pour la saison des achats des Fêtes, il apparaît que le service postal américain a corrigé une faille de sécurité qui permettait à tous les titulaires de comptes USPS.com, environ 60 millions de personnes, de voir les données personnelles des autres utilisateurs.
Mercredi, Brian Krebs, expert en cybersécurité, a écrit sur le virus, indiquant qu'il avait été contacté la semaine dernière par un chercheur qui avait demandé à rester anonyme. Le chercheur aurait informé l'USPS de ses découvertes il y a plus d'un an, mais n'a jamais reçu de réponse, a déclaré Krebs. Krebs a ensuite confirmé les conclusions du chercheur et contacté l'USPS, "qui a rapidement résolu le problème".
Les représentants de USPS n'ont pas immédiatement répondu à une demande de confirmation et de commentaire le jour de Thanksgiving.
Krebs a déclaré que la faille provenait d'une faiblesse d'authentification dans une interface de programme d'application, ou API, liée à son programme Informed Visibility, qui permet aux utilisateurs de recevoir une analyse de tous les messages entrants avant leur livraison à leur adresse. Ce programme a fait l’objet d’un avis du service secret des États-Unis, Krebs, qui avait été repéré plus tôt ce mois-ci, avertissant que des criminels pourraient utiliser le programme pour cibler des personnes frauduleuses par carte de crédit.
Le dernier bogue a laissé les utilisateurs USPS.com connectés "interroger le système pour obtenir les détails du compte appartenant à tout autre utilisateur", y compris les adresses e-mail, noms d'utilisateur, identifiants, adresse, numéros de téléphone et plus, a déclaré Krebs.
