Servicio Postal de los EE. UU. expuso a 60 millones de usuarios

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Investigadores independientes han revelado detalles sobre el Servicio Postal de los EE. UU. (USPS) denunciaron una vulnerabilidad de seguridad que permitió a cualquier persona que tenga una cuenta en usps.com ver los detalles de la cuenta de aproximadamente 60 millones de usuarios y, en algunos casos, modificar los detalles de la cuenta en su nombre.

El problema surgió de un problema de autenticación, en un componente web de USPS conocido como una API, un conjunto de herramientas que definen cómo varias partes de una aplicación en línea, como las bases de datos y las páginas web, deben interactuar entre sí.

Las API pueden ser una forma muy efectiva para que una empresa permita que terceros construyan herramientas y aplicaciones útiles en torno a los datos de esa empresa, pero deben estar debidamente protegidas.

En este caso, los controles de acceso básicos no se implementaron correctamente, por lo que cualquier persona que inicie sesión en una cuenta de USPS podría, con un poco de experiencia, acceder a los detalles de otros 60 millones de titulares de cuentas.

Además, podrían solicitar que se realicen cambios en esas cuentas, aunque esos cambios requieren confirmación por correo electrónico.

Si bien no estamos seguros de si alguien realmente aprovechó la vulnerabilidad, se informó que existió durante todo un año, por lo que deberíamos asumir lo peor.

Visibilidad informada, un programa de USPS vinculado a la API que se pretende utilizar para el seguimiento avanzado de paquetes, ha tenido otros incidentes de seguridad en el pasado, por lo que probablemente ya era un objetivo para los piratas informáticos.

Estas fallas son muy comunes, y más aún hoy en día a medida que las API y la modularización se vuelven más comunes y bien establecidas.

Al crear una API o un módulo en una infraestructura orientada a servicios, cada módulo o API debe imponer la autenticación y la autorización, ya sea ellos mismos o, preferiblemente, llamando a un módulo centralizado bien definido para este fin.

A medida que los escáneres técnicos son más precisos y los desarrolladores son más conscientes de la seguridad o están más inclinados a usar funciones bien establecidas para administrar entradas seguras en la aplicación, los ataques como las inyecciones de SQL están disminuyendo en frecuencia.

Sin embargo, los problemas lógicos permanecen no solo al mismo nivel que antes, sino a una tasa alarmante más, una tendencia que hemos estado recogiendo de una base bastante importante de clientes para los que supervisamos y probamos la seguridad de las aplicaciones web.