Сайт Почтовой службы США раскрывал информацию о 60 млн пользователях

Сайт Почтовой службы США раскрывал информацию о 60 млн пользователях

Сайт Почтовой службы США раскрывал информацию о 60 млн пользователях

Почтовая служба США на днях устранила серьезную проблему безопасности, которая позволяла каждому, у кого есть аккаунт на сайте usps.com, просматривать детали учетных записей 60 миллионов других пользователей. В некоторых случаях с помощью этой бреши можно было даже изменить детали аккаунта от имени его владельца.

Об этом сообщил независимый эксперт Брайан Кребс, которому поведал о проблеме другой исследователь в области безопасности (он попросил не называть его имя). Информатор утверждал, что более года назад он пытался связаться с представителями USPS, однако ответ так и не получил.

Проблема заключалась в уязвимости процесса аутентификации в API USPS, который был связан с инициативой «Informed Visibility». По словам USPS, «Informed Visibility» направлена на отслеживание данных в режиме реального времени для рекламных кампаний и бизнеса.

В итоге дыра в безопасности позволяла любому пользователю, прошедшему аутентификацию на usps.com, запросить у системы данные аккаунта других юзеров. Среди данных, которые система могла предоставить, были адреса электронной почты, имена пользователей, ID пользователей, номера аккаунтов, адреса проживания, номера телефона и другая информация.

При этом не требовалось использование каких-либо инструментов для взлома — достаточно было простой подстановки необходимых параметров.

Импортозамещение на шильдиках: китайские ноутбуки выдали за российские

Мособлсуд оставил в силе решение о взыскании почти 370 млн рублей с фигурантов дела о поставках Минобороны китайской техники под видом российской. История тянется с 2016 года. Тогда ведомство заключило контракт на 367,1 млн рублей с ООО «Антей».

По документам компания должна была поставить отечественную технику для работы со служебной информацией.

В итоге в 33 военные организации, включая академии, училища и учебные центры, отправили более 102 тыс. USB-накопителей и 3142 ноутбука.

Вот только российскими они оказались в основном на бумаге, как выяснил «КомерсантЪ».

По версии следствия, технику закупали в Китае через посредников, а уже в России доводили до нужного патриотического вида: устанавливали специальную операционную систему, прикладывали фиктивную документацию, наносили лазерную гравировку «МО» и клеили шильдики «ДЕПО Электроникс».

ФСБ установила, что поставленная продукция не соответствовала условиям контракта и была произведена в Китае. Иными словами, импортной технике устроили быстрый ребрендинг и отправили в войска как отечественную.

Организатором схемы следствие считает владельца DEPO Computers Сергея Эскина. По данным правоохранителей, собственных мощностей для исполнения контракта у него не было, а целью сделки было хищение бюджетных средств.

Сам Эскин находится за границей, объявлен в международный розыск и заочно арестован. До суда дошли десять других фигурантов, включая руководителей и сотрудников связанных компаний. Они получили от пяти до семи лет колонии, позднее троим наказание снизили до трех лет.

Теперь к уголовным срокам добавился и счет: Минобороны добилось взыскания всей суммы ущерба. Получился дорогой урок импортозамещения — китайская техника, российская гравировка и почти 370 млн рублей на выходе.

RSS: Новости на портале Anti-Malware.ru