USPS หรือไปรษณีย์สหรัฐฯ​ มีบริการ API สำหรับอำนวยความสะดวกให้ผู้ใช้บริการที่รับจดหมายจากไปรษณีย์ แต่มีนักวิจัยค้นพบว่า API นี้มีช่องโหว่ที่เปิดให้ใครก็ได้ค้นข้อมูลของคนอื่นได้โดยใช้สัญลักษณ์ wildcard

API ที่เป็นปัญหาของ USPS ชื่อว่า InformedDelivery เป็นเครื่องมือให้ผู้ใช้อ่านจดหมายก่อนจะมาส่งถึงบ้าน และให้ API นี้เชื่อมต่อจดหมายเข้ากับบริการบางอย่างได้ด้วย แต่มีนักวิจัยความปลอดภัยที่ไม่เปิดเผยตัวตนค้นพบว่า API นี้เปิดให้ผู้ใช้สามารถค้นหาข้อมูลโดยใช้สัญลักษณ์ wildcard ซึ่งจะทำให้ผู้ใช้เห็นข้อมูลของคนอื่นด้วย โดยจากการทดลองพบว่าสามารถดึงข้อมูลได้นับล้าน record

Brian Krebs เจ้าของเว็บไซต์ krebonsecurity.com ระบุว่าตัวเขาเองนั้นได้คัดลอก API ดังกล่าวไว้แล้ว (ดูได้จากหน้าเว็บนี้) ช่องโหว่ของ API นี้สามารถนำไปใช้ในทางที่ผิดได้ ยกตัวอย่างเช่นใช้เพื่อดูได้ว่าจดหมายจะมาส่งที่บ้านเมื่อไร ทำให้ผู้ไม่ประสงค์ดีสามารถเลือกวันเวลามาเอาจดหมายที่มีข้อมูลสำคัญได้อย่างแม่นยำ

ตอนนี้ USPS รับทราบช่องโหว่และทำการแพทซ์เรียบร้อยแล้ว

ที่มา - TechCrunch

ภาพ ArtisticOperations/Pixabay (CC0 Creative Commons)