USPS ຫະລືໄປສະນີສະຫະລັດມີບໍລິການ API ສໍາຫລັບອໍານວຍຄວາມສະດວກໃຫ້ຜູ້ໃຊ້ບໍລິການທີ່ຮັບຈົດຫມາຍຈາກໄປສະນີແຕ່ມີນັກວິໄຈຄົ້ນພົບວ່າ API ນີ້ມີຊ່ອງໂຫວ່ທີ່ເປີດໃຫ້ໃຜກໍໄດ້ຄົ້ນຂໍ້ມູນຂອງຄົນອື່ນໄດ້ໂດຍໃຊ້ສັນລັກ wildcard
API ທີ່ເປັນບັນຫາຂອງ USPS ຊື່ວ່າ InformedDelivery ເປັນເຄື່ອງມືໃຫ້ຜູ້ໃຊ້ອ່ານຈົດຫມາຍກ່ອນຈະມາສົ່ງເຖິງບ້ານ ແລະ ໃຫ້ API ນີ້ເຊື່ອມຕໍ່ຈົດຫມາຍເຂົ້າກັບບໍລິການບາງຢ່າງໄດ້ດ້ວຍແຕ່ມີນັກວິໄຈຄວາມປອດໄພທີ່ບໍ່ເປີດເຜີຍຕົວຕົນຄົ້ນພົບວ່າ API ນີ້ເປີດໃຫ້ຜູ້ໃຊ້ສາມາດຄົ້ນຫາຂໍ້ມູນໂດຍໃຊ້ສັນລັກ wildcard ຊຶ່ງຈະເຮັດໃຫ້ຜູ້ໃຊ້ເຫັນຂໍ້ມູນຂອງຄົນອື່ນດ້ວຍໂດຍຈາກການທົດລອງພົບວ່າສາມາດດຶງຂໍ້ມູນໄດ້ນັບລ້ານ record
Brian Krebs ເຈົ້າຂອງເວັບໄຊ krebonsecuritycom ລະບຸວ່າຕົວເຂົາເອງນັ້ນໄດ້ຄັດລອກ API ດັງກ່າວໄວ້ແລ້ວ (ເບິ່ງໄດ້ຈາກຫນ້າເວັບນີ້) ຊ່ອງໂຫວ່ຂອງ API ນີ້ສາມາດນໍາໄປໃຊ້ໃນທາງທີ່ຜິດໄດ້ຍົກຕົວຢ່າງເຊັ່ນໃຊ້ເພື່ອເບິ່ງໄດ້ ວ່າຈົດຫມາຍຈະມາສົ່ງທີ່ບ້ານເມື່ອໄດເຮັດໃຫ້ຜູ້ບໍ່ປະສົງດີສາມາດເລືອກວັນເວລາມາເອົາຈົດຫມາຍທີ່ມີຂໍ້ມູນສໍາຄັນໄດ້ຍ່າງແມ່ນຍໍາ
ຕອນນີ້ USPS ໄດ້ຮັບຊ່ອງໂຫວ່ ແລະ ທຳການແພກລຽບຮ້ອຍແລ້ວ
ທື່ມາ: TechCrunch , Blognone
ไม่มีความคิดเห็น:
แสดงความคิดเห็น