اختراق مكتب براءات الاختراع الأمريكي ، الوصول إلى تطبيقات العلامات التجارية

أبلغ مكتب الولايات المتحدة لبراءات الاختراع والعلامات التجارية (USPTO) أكثر من 60,000 ألف مقدم طلب علامة تجارية أنه ترك عن طريق الخطأ عناوينهم الفعلية مكشوفة للإنترنت العام لمدة ثلاث سنوات.

A واجهة برمجة التطبيقات المتسربة وكان الجاني، وفقا ل تقارير، وتركت مجموعات البيانات مكشوفة، بما في ذلك العناوين التي تم جمعها من المتقدمين، والتي تكون إلزامية عند تقديم طلب للحصول على علامة تجارية لدى مكتب الولايات المتحدة للبراءات والعلامات التجارية.

"عندما اكتشفنا المشكلة، قمنا بحظر الوصول إلى جميع واجهات برمجة التطبيقات غير المهمة الخاصة بمكتب الولايات المتحدة الأمريكية للبراءات والعلامات التجارية (USPTO) وقمنا بإزالة منتجات البيانات المجمعة المتأثرة حتى يمكن تنفيذ إصلاح دائم،" هذا ما ورد في الإشعار الذي تم إرساله إلى أصحاب الملفات المتأثرين ومشاركته مع TechCrunch.

وأضاف متحدث باسم الشركة أن التسرب أثر على حوالي 3% من الطلبات المقدمة خلال فترة الثلاث سنوات.

"لقد فشلنا للأسف في تحديد بعض نقاط الخروج الأكثر تقنية وإخفاء البيانات المصدرة من تلك النقاط بشكل صحيح. وأضاف متحدث باسم USPTO. "نعتذر عن خطأنا وسنبذل قصارى جهدنا لمنع حدوث مثل هذا الحادث مرة أخرى، مع الحفاظ أيضًا على قدرتنا على اتخاذ إجراءات صارمة ضد الحجم التاريخي لحالات الاحتيال التي نشهدها تنشأ في الخارج.

قال جيسون كينت، المتسلل المقيم لدى Cequence Security، في بيان مقدم إلى Dark Reading أن هذا النوع من التكوين الخاطئ لواجهة برمجة التطبيقات وهذا هو بالضبط ما يبحث عنه المهاجمون السيبرانيون عبر الإنترنت.

وقال كينت: "كلما كانت نقاط الخروج أكثر تقنية هي تلك التي يميل المهاجمون إلى تفضيلها". "في لغة أمان واجهة برمجة التطبيقات لعام 2023، كان لديهم API9:2023 إدارة المخزون غير الصحيحة التي سمحت للمهاجم بالعثور على نقطة النهاية، وعلموا أنه لم تتم المصادقة على API2:2023 مصادقة المستخدم المعطلة التي كان من الممكن أن تسمح للمهاجم الآلي بسحب جميع المتأثرين البيانات في فترة زمنية قصيرة جدًا، API6:2023 الوصول غير المقيد إلى تدفقات الأعمال الحساسة."