El servicio de correos de Estados Unidos (USPS, en sus siglas en inglés) ha solucionado una vulnerabilidad presente en una Interfaz de Programación de Usuario (API) en su página web, por la que cualquier usuario registrado podía acceder a datos personales y de pedidos de los 60 millones de cuentas registradas.

Como explica el investigador y fundador de Krebs on Security, Brian Krebs, un investigador anónimo descubrió el problema y lo comunicó a Krebs a principios de octubre, después de haber tratado de contactar con el servicio de correos más de un año antes, sin que obtuviera respuesta.

El fallo de seguridad estaba relacionado con una API de la web de USPS, ligada a una iniciativa de correos llamada «Visibilidad Informada». Esta función ofrecía información en tiempo real de las cartas y del seguimiento de los paquetes enviados por los usuarios, según se recoge en la web de correos, y permitía «mejorar la facilidad de uso a través del aprovisionamiento y delegación flexible de los datos».

Además de la información relativa a los envíos, el fallo de seguridad permitió a cualquier usuario obtener detalles de las cuentas, entre los que se encontraban datos como el correo electrónico, el nombre de usuario, su documento de identidad, el número de cuenta, el teléfono, la dirección, entre otros. También permitiría la modificación de la información.

Krebs on Security ha explicado que no se necesitaban herramientas de piratería para acceder a los datos de los 60 millones de cuentas de usuario registrados en usps.com, …