US Patent Office hacket, varemærkeapps tilgået

US Patent and Trademark Office (USPTO) informerede mere end 60,000 varemærkeansøgninger om, at de ved en fejl efterlod deres fysiske adresser udsat for det offentlige internet i tre år.

A utæt API var den skyldige, iflg rapporter, og efterlod datasæt afsløret, herunder adresser indsamlet fra ansøgere, som er obligatoriske, når de ansøger om et varemærke hos USPTO.

"Da vi opdagede problemet, blokerede vi adgangen til alle USPTO ikke-kritiske API'er og fjernede de berørte bulkdataprodukter, indtil en permanent rettelse kunne implementeres," lød meddelelsen sendt til berørte filer og delt med TechCrunch.

En talsmand tilføjede, at lækagen påvirkede omkring 3% af de ansøgninger, der blev indgivet i løbet af den treårige periode.

"Vi formåede desværre ikke at lokalisere nogle af de mere tekniske udgangspunkter og maskere de data, der blev eksporteret fra disse punkter, korrekt." en USPTO-talsmand tilføjede. “Vi undskylder for vores fejl og vil gøre bedre for at forhindre en sådan hændelse i at ske igen, samtidig med at vi bevarer vores evne til at slå ned på den historiske mængde af arkiveringssvindel, vi ser stammer fra udlandet."

Jason Kent, hacker hjemme hos Cequence Security, sagde i en erklæring til Dark Reading, at denne type API fejlkonfiguration er netop, hvad cyberangribere trawler efter på tværs af internettet.

"De mere tekniske udgangspunkter er dem, angriberne har en tendens til at foretrække," sagde Kent. "I 2023 API-sikkerhedssprog havde de API9:2023 Ukorrekt Inventory Management, der gjorde det muligt for en hacker at finde slutpunktet, lære, at det ikke var godkendt API2:2023 Broken User Authentication, der kunne have tilladt en automatiseret hacker at trække alle de berørte data på meget kort tid, API6:2023 Ubegrænset adgang til følsomme forretningsstrømme."