Uma falha crítica no serviço permitia que qualquer pessoa com uma conta em usps.com visse ou modificasse detalhes da conta de outros utilizadores.

Só depois da divulgação pública é que o serviço corrigiu a falha.

Vetor de ataque

O problema estava na API de Visibilidade Informada (API Informed Visibility), que estava feita para negócios, publicitadores e outros profissionais de envio de email tomassem decisões de negócio melhores e conseguissem ter acesso a dados em tempo real. Os investigadores descobriram que através do uso da API para pesquisar um determinado elemento de dados, por exemplo um email, era possível aceder a diversas contas que partilhavam os dados.

Para corrigir o problema, foi implementado um mecanismo que envia para o email associado à conta alvo de alterações a respetiva intenção de alteração.

De referir que a empresa já tinha sido alvo de auditorias, que apontavam diversos problemas, incluindo falhas de autenticação e encriptação que, naturalmente, não receberam a devida atenção.

Mais informações aqui: https://krebsonsecurity.com/2018/11/usps-site-exposed-data-on-60-million-users/