El Servicio Postal de EE.UU (USPS, por sus siglas en inglés) ha corregido una vulnerabilidad crítica en su sitio web, que permitía a cualquier persona acceder a los datos personales de sus usuarios, incluyendo los nombres y las direcciones de domicilio.

Al parecer, el error de seguridad existía desde hace más de un año, cuando un investigador independiente lo identificó. Sin embargo, el USPS tomó acciones contundentes hace apenas una semana, cuando la firma de seguridad Krebs on Security reveló el incidente.

Esta vulnerabilidad permitió que al menos 60 millones de cuentas registradas en el sitio web usps.com estuvieran expuestas. El informe revela que el problema tuvo su inicio en una autenticación débil en la API del sitio web, que permitió a cualquier persona tuviera acceso a la base de datos del servicio postal. Lamentablemente, la API no estaba configurada para validar si una cuenta tenía permiso de lectura de los datos de los usuarios.

De esta forma, los datos privados de los usuarios, incluyendo sus direcciones de correo electrónico y números de teléfono personales, quedaron expuestos a cualquier usuario que pudiera iniciar sesión en la plataforma. Debido a que las direcciones de residencia pudieron verificarse mediante la base de datos, cualquier usuario pudo obtener datos de varias personas desde su domicilio.

Mark Zuckerberg se reunirá con ministro del Reino Unido tras denuncias del Parlamento Británico

La firma Krebs afirma que gracias a esta vulnerabilidad, no hizo falta la intervención de ningún tipo de herramienta especial para hackear el sitio web o sustraer la información del mismo. En un comunicado, el USPS ha reconocido la falla, afirmando que su equipo de expertos investiga lo ocurrido a fin de garantizar que cualquier persona que haya accedido a los datos de los usuarios sea castigada con todo el peso de la ley.

Por su parte, en octubre fue realizada una auditoría de seguridad al sistema de USPS, la cual no reveló la vulnerabilidad corregida hace una semana. Sin embargo, los investigadores encontraron otras fallas de seguridad importantes que no han sido corregidas hasta el momento.

Más en TekCrispy