El servicio de correos de EE.UU. expuso los datos personales de 60 millones de usuarios

Como explica el investigador y fundador de Krebs on Security, Brian Krebs, un investigador anónimo descubrió el problema y lo comunicó a Krebs a principios de octubre, después de haber tratado de contactar con el servicio de correos más de un año antes, sin que obtuviera respuesta.

El fallo de seguridad estaba relacionado con una API de la web de USPS, ligada a una iniciativa de correos llamada «Visibilidad Informada». Esta función ofrecía información en tiempo real de las cartas y del seguimiento de los paquetes enviados por los usuarios, según se recoge en la web de correos, y permitía «mejorar la facilidad de uso a través del aprovisionamiento y delegación flexible de los datos».

Además de la información relativa a los envíos, el fallo de seguridad permitió a cualquier usuario obtener detalles de las cuentas, entre los que se encontraban datos como el correo electrónico, el nombre de usuario, su documento de identidad, el número de cuenta, el teléfono, la dirección, entre otros. También permitiría la modificación de la información.

Krebs on Security ha explicado que no se necesitaban herramientas de piratería para acceder a los datos de los 60 millones de cuentas de usuario registrados en usps.com, sino que cualquier usuario registrado podía hacerlo. En las pruebas que realizó, ha compartido que «muchas de las aplicaciones de la interfaz aceptaron caracteres 'comodín' para las búsquedas». Con estos parámetros se pudo obtener información sobre un conjunto determinado de datos sin realizar una búsqueda específica, solo con «saber cómo ver y modificar los datos procesados por un navegador».

El investigador ha puesto como ejemplo el caso de que al realizar búsquedas sobre un elemento de datos que dos cuentas tenían en común, como puede ser una dirección de vivienda, las investigaciones comprobaron que se podían descubrir múltiples cuentas en el mismo domicilio al rebuscar en los respectivos correos electrónicos asignados a las cuentas.

La empresa de correos emitió un comunicado, recogido por el portal citado, en el cual confirmó que consiguieron mitigar la vulnerabilidad gracias a la información compartida por la investigación de Krebs. También declaró que no tenía información de que se hubiera usado la vulnerabilidad para explotar los registros de los clientes. También aseguró que estaban investigando lo ocurrido y que «cualquiera que pudiera haber buscado acceder a nuestros sistemas de forma no apropiada será perserguido con todo el peso de la ley».

El investigador del Instituto Internacional de Ciencias de la Computación ubicado en Berkeley, California (Estados Unidos), Nicholas Weaver , declaró sobre el problema que «parecía que el único control de acceso que tenían (para acceder a las cuentas de correos) era que estuvieras conectado», y que la API de la web debería haber validado que la cuenta que realiza la solicitud de acceso tuviera permiso para leer la información.

Además del acceso a datos, en la publicación del blog se ha indicado que cualquier usuario podía solicitar cambios en la cuenta de otro usuario, los cuales comprenderían la dirección de email o el número de teléfono. No obstante, para evitar cambios no autorizados, la USPS sí incluyó un paso de validación, pues según Krebs, para modificar la dirección de correo asignada a la cuenta se envía un mensaje de confirmación a ese mismo email.

La vulnerabilidad a través de la iniciativa «Visibilidad Informada» podría haberse utilizado, según ha publicado Krebs on Segurity, para «crear problemas para los clientes más grandes de USPS», en lo que han destacado a empresas como Netflix, pues la API permitió convertir cuentas normales del servicio de correos en cuentas comerciales con la función . Otro de los problemas resaltados, esta vez por director de tecnología de la empresa de seguridad estadounidense Bit Discovery, Robert Hansen, alude a la posibilidad de generar anuncios de 'spam' masivo o suplantación de identidad.

Krebs on Segurity ha señalado que el problema resaltado no estaba presente en una evaluación de vulnerabilidades de «Visibilidad Informada» que la Oficina del Inspector General de la USPS publicó en forma de PDF en el mes de octubre. En este documento se integraron otras vulnerabilidades de autenticación y cifrado, relacionadas con la forma en la que se cifraron los datos de tránsito.