前言

美国邮政服务系统刚刚修复了一个严重的网站漏洞，该漏洞使得拥有usps.com帐户的任何人都可查看和修改约6000万用户的账户详情。

漏洞解构

该漏洞源于USPS Web组件中的身份验证API，根据USPS的说法，基于该API构建的”通知可见“功能可为企业、广告商和其他批量邮件发件人提供几乎实时的数据跟踪和获取能力，以“做出更好的业务决策”。

该漏洞除了公开USPS商业客户发送的包裹和邮件实时数据外，还允许任何登录usps.com的用户向系统查询其他用户的帐户详情，例如电子邮件地址、用户名、ID、帐号、街道地址、电话号码、授权用户、邮寄活动数据和其他信息。

与API相关的功能均支持“通配符”搜索参数，也就是说它们可以返回给定数据集的所有记录，而无需搜索特定术语。除了需要了解如何查看和修改由Chrome或Firefox等常规Web浏览器处理的数据元素之外，无需特殊的黑客工具来提取这些数据。

USPS宣传册，宣传”通知可见服务“的优势和好处

如果多个帐户共享一个公共数据元素（例如街道地址），则使用该API进行搜索会显示多个记录，这样一来就可以对其他用户的信息进行查看、修改等操作。

影响

通过“通知可见”API获得对帐户相关数据库条目的修改能力，可能会给USPS的大客户带来问题，试想一下像Netflix这样的公司以及其他需要大批量发送邮件的客户，要是API允许任何用户将常规usps.com帐户转换为Informed Visibility业务帐户，中间损失的费用怎么算。此外，这也会给垃圾邮件发送者和电子邮件诈骗者提供可趁之机，很容易被用来构建大规模针对性垃圾邮件攻击或鱼叉式网络钓鱼。

*参考来源：krebsonsecurity，Freddy编译整理，转载请注明来自 FreeBuf.COM。